Что такое IDS/IPS-системы?

В настоящее время кибератаки являются одной из основных проблем бизнеса. Только антивирусная программа и брандмауэр уже не способны обеспечить необходимый уровень защиты сети. Вредоносное ПО может «маскироваться» и отправлять пакеты, которые выглядят безопасными для межсетевого экрана. Так вторжение в сеть компании обнаруживается постфактум. Таким образом, чтобы не стать жертвой кибератаки, работа в области безопасности информации строится по принципу предупреждения возможных угроз.

Системы обнаружения и предотвращения вторжений или IDS/IPS системы — это инструменты защиты корпоративных сетей. Они выявляют неавторизированный доступ в сеть и принимают меры по противодействию: информируют специалистов об атаках и перенастраивают сетевой экран для блокировки доступа к данным. Эти системы обеспечивают дополнительный уровень защиты к межсетевому экрану.

Что такое IPS?

Система IPS (Intrusion Prevention System) предназначена для предотвращения атак. Она является подклассом IDS-систем. Такая система следит за трафиком и блокирует подозрительные потоки данных. Ее цель — обнаружить и предотвратить несанкционированные действия в сети. Система использует набор правил, чтобы заблокировать трафик. Таким образом, она блокирует пробелы в безопасности. IPS применяется на границе сети или в отдельных хостах. Она может использовать дублирование трафика (SPAN) и не иметь IP-адреса, оставаясь невидимой для взломщика.

IPS можно разделить на два класса. Первый класс (IPS) анализирует трафик и сравнивает с известными характеристиками угроз. Второй (HIPS) — анализирует протоколы и ищет запрещенный трафик в базе найденных раньше уязвимостей. Именно этот класс обеспечивает защиту от неизвестных атак.

Что такое IDS?

Система IDS (Intrusion Detection System) используется для обнаружения нетипичных действий в сети и предупреждения о них специалиста по ИБ. Уведомление выводится на панель управления или отправляется на почту, телефон и т.п. Цель системы — мониторинг трафика и нахождение сетевых атак, а также обнаружение нарушений пользователями политики безопасности. Системы обнаружения вторжений IDS помогают отслеживать положение дел со стороны безопасности.

Функции IDS-систем:

• запись информации — отправка в системы сбора логов или SIEM-системы;
• сообщение об инцидентах (alert-уведомления);
• составление отчетов — суммируются все данные по событиям.

Отличия IPS и IDS систем

IPS — Intrusion Prevention System, а IDS — Intrusion Detection System. Это означает, что системы IPS отвечают за предупреждение и устранение атак, а IDS — за их обнаружение.

IDS не меняет сетевые пакеты и не предпринимает самостоятельных действий. А IPS наоборот предотвращает доставку пакета с подозрительным содержимым. Эта система запрещает сетевой трафик при обнаружении угроз. В IDS системе человек или другая система анализирует результаты мониторинга и определяет дальнейшие действия. Также, IPS имеет возможность менять содержание атаки и удалять инфицированный компонент. IPS, в каком-то смысле, расширение технологии IDS и обладает дополнительными возможностями для предотвращения атак при их выявлении. Каждая IPS содержит модуль IDS.

Таким образом, главное отличие IPS от IDS системы в том, что IPS — это система управления, а IDS — система мониторинга.

Что выбрать?

Выбор системы с точки зрения компании зависит от:

• требуемого уровня защиты сети;
• сферы деятельности компании;
• подготовки специалистов;
• бюджета организации.

Первое, на что стоит обратить внимание — масштаб систем: работает только с конкретным хостом или трафиком всей сети. Второй момент — позиционирование продукта. IPS и IDS могут быть как отдельными системами, так и частью программного обеспечения или аппаратного устройства.

Стоит отметить, что IPS систему необходимо регулярно настраивать под организацию и сеть, чтобы избежать сбоев и ложных срабатываний. Иначе, можно пропустить атаки и повредить сервисы компании. В случае с IDS системой, важным фактором будет удобство интерфейса для специалиста, который будет использовать систему. При использовании IDS нужно учитывать, что они с трудом работают в сетях с большим трафиком. 50 тысяч пакетов в секунду в 100 Мбит сети — это предел данной системы.

Наиболее эффективным способом защиты корпоративных сетей будет совместное применение IPS и IDS систем. Это UTM-системы (Unified Threat Management). Они являются комбинацией технологий IPS и IDS и предоставляют полный набор функций в одном устройстве. Таким образом, сокращая расходы на ресурсы. Важно обратить внимание на надежность системы от отказов.

Traffic Inspector Next Generation объединила в себе IDS/IPS технологии.