Системы обнаружения и предотвращения вторжений (IPS/IDS)

Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.

К основным функциям систем IDS относятся:

• Обнаружение вторжений и выявление сетевых атак.
• Прогнозирование и поиск уязвимостей.
• Распознавание источника атаки (взломщики или инсайдеры).
• Обеспечение контроля качества системного администрирования.

Концептуальная схема систем обнаружения вторжений включает в себя:

• Подсистему сбора событий, или сенсорную.
• Подсистему анализа данных, полученных от сенсорной подсистемы.
• Подсистему хранения событий.
• Консоль администрирования.

Функциональные особенности системы предотвращения вторжений схожи с IDS-компонентом. Однако IPS не позволяет постоянно отслеживать ситуацию в режиме реального времени и, соответственно, своевременно выполнять действия по предотвращению атак — как внешних, так и внутренних. Система помогает предотвращать наиболее популярные сетевые атаки, например, против уязвимых компонентов информационных систем и сервисов, атаки, нацеленные на повышение прав и привилегий или получение неавторизованного доступа к конфиденциальной информации, и, разумеется, предотвращать внедрение вредоносных программ, таких как трояны, черви, вирусы, во внутренние сети компаний.

При выборе системы IPS/IDS стоит помнить, что она имеет несколько видов, которые отличаются расположением, типом сенсоров и механизмами работы подсистемы анализа. В общем смысле, системы обнаружения и предотвращения вторжений могут быть:

• Сетевыми (NIDS) — проверке подвергается сетевой трафик с концентратора или коммутатора.
• В основе которых лежит протокол СОВ (PIDS) — позволяет наблюдать, например, за HTTP- и HTTPS-протоколами.
• Основанными на прикладных протоколах СОВ (APIDS) — в таких системах проверяются специализированные прикладные протоколы.
• Узловыми, или Host-Based (HIDS) — подвергают анализу журналы приложений, состояния хостов, а также системные вызовы.
• Гибридными — включают в себя особенности нескольких видов систем обнаружения вторжений.

В настоящее время системы IPS/IDS по-прежнему активно развиваются, чтобы уменьшить число ложных срабатываний и увеличить эффективность решения. Результатом можно считать системы NGIPS, так называемые IPS-системы нового поколения, которые позволяют выполнять все функции в режиме реального времени, никак не влияя на сетевую активность организации, и помимо прочего предоставляют возможности мониторинга приложений и использования информации из сторонних источников, например баз уязвимостей.

В России требования к системам обнаружения вторжений появились еще в 2011 году. ФСТЭК России поделила СОВ на 6 классов защиты. Отличия между классами заключаются в уровне информационных систем и непосредственно информации, которая подлежит обработке (персональные данные, конфиденциальная информация, государственная тайна). Соответствие требованиям регулятора является важным фактором при выборе системы предотвращения вторжений. В то же время это положительно сказывается на развитии отечественного рынка таких решений.