Системы обнаружения и предотвращения вторжений (IPS/IDS) - Сравнение и выбор

Системы обнаружения и предотвращения вторжений (IPS/IDS)

Средства, предназначенные для обнаружения и/или предотвращения вторжений (Intrusion Detection/Prevention System)

Вопрос
Задать вопрос

Описание и назначение

Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.

К основным функциям систем IDS относятся:

  • Обнаружение вторжений и выявление сетевых атак.
  • Прогнозирование и поиск уязвимостей.
  • Распознавание источника атаки (взломщики или инсайдеры).
  • Обеспечение контроля качества системного администрирования.

Концептуальная схема систем обнаружения вторжений включает в себя:

  • Подсистему сбора событий, или сенсорную.
  • Подсистему анализа данных, полученных от сенсорной подсистемы.
  • Подсистему хранения событий.
  • Консоль администрирования.

Функциональные особенности системы предотвращения вторжений схожи с IDS-компонентом. Однако IPS не позволяет постоянно отслеживать ситуацию в режиме реального времени и, соответственно, своевременно выполнять действия по предотвращению атак — как внешних, так и внутренних. Система помогает предотвращать наиболее популярные сетевые атаки, например, против уязвимых компонентов информационных систем и сервисов, атаки, нацеленные на повышение прав и привилегий или получение неавторизованного доступа к конфиденциальной информации, и, разумеется, предотвращать внедрение вредоносных программ, таких как трояны, черви, вирусы, во внутренние сети компаний.

При выборе системы IPS/IDS стоит помнить, что она имеет несколько видов, которые отличаются расположением, типом сенсоров и механизмами работы подсистемы анализа. В общем смысле, системы обнаружения и предотвращения вторжений могут быть:

  • Сетевыми (NIDS) — проверке подвергается сетевой трафик с концентратора или коммутатора.
  • В основе которых лежит протокол СОВ (PIDS) — позволяет наблюдать, например, за HTTP- и HTTPS-протоколами.
  • Основанными на прикладных протоколах СОВ (APIDS) — в таких системах проверяются специализированные прикладные протоколы.
  • Узловыми, или Host-Based (HIDS) — подвергают анализу журналы приложений, состояния хостов, а также системные вызовы.
  • Гибридными — включают в себя особенности нескольких видов систем обнаружения вторжений.

В настоящее время системы IPS/IDS по-прежнему активно развиваются, чтобы уменьшить число ложных срабатываний и увеличить эффективность решения. Результатом можно считать системы NGIPS, так называемые IPS-системы нового поколения, которые позволяют выполнять все функции в режиме реального времени, никак не влияя на сетевую активность организации, и помимо прочего предоставляют возможности мониторинга приложений и использования информации из сторонних источников, например баз уязвимостей.

В России требования к системам обнаружения вторжений появились еще в 2011 году. ФСТЭК России поделила СОВ на 6 классов защиты. Отличия между классами заключаются в уровне информационных систем и непосредственно информации, которая подлежит обработке (персональные данные, конфиденциальная информация, государственная тайна). Соответствие требованиям регулятора является важным фактором при выборе системы предотвращения вторжений. В то же время это положительно сказывается на развитии отечественного рынка таких решений.

 

Список средств защиты

InfoWatch
0
0 отзывов
InfoWatch ARMA Industrial Firewall — это решение, которое защищает АСУТП в промышленных предприятиях как относительно небольших, так и значительных масштабов.
Инфотекс
0
0 отзывов
ViPNet IDS 3 — комплекс средств, предназначенных для обнаружения компьютерных атак на основе анализа сетевого трафика в автоматизированных информационных системах (ИС).