Что такое IPS/IDS и где применяется

Что такое система обнаружения вторжений (IDS)

IDS или система обнаружения вторжений обычно связана с программным приложением или устройством, которое отвечает за мониторинг онлайн-угроз, будь то в системе или сети. Информация о странной активности обычно сообщается администратору или собирается через систему SIEM.

Что касается методов работы IDS, то здесь возможны 3 варианта, такие как:

• Обнаружение аномалий. IDS может функционировать для мониторинга компьютерной и сетевой активности и последующего разделения активности на нормальную и аномальную. Изначально такая система была разработана для обнаружения странной активности. В основе подхода лежит использование машинного обучения, с помощью которого запоминаются правильные модели активности и сравниваются с новыми/странными. Этот подход гораздо лучше благодаря своим обобщенным свойствам, но у вас могут возникнуть проблемы с ложными срабатываниями.
• Обнаружение IDS, основанное на сигнатуре. Этот подход считается более традиционным и основан на поиске определенных шаблонов. В этом методе шаблоны означают то же самое, что и сигнатуры. Такое обнаружение IDS поможет справиться с известными кибератаками, но будет иметь некоторые проблемы с новыми шаблонами.
• Обнаружение на основе репутации. Здесь на весь процесс влияет показатель репутации.

Теперь, когда вы имеете представление о том, как функционирует IDS, давайте обсудим основные типы этих систем. Основная классификация включает 2 типа:

• NIDS. Этот тип IDS отслеживает входящий трафик. Система анализирует активность трафика, поступающего на устройство/от него. Вся активность сравнивается с существующей библиотекой возможных атак, и как только выявляется что-то странное, администратор получает об этом уведомление.
• HIDS. Такая система необходима для надлежащего мониторинга ОС на устройствах или отдельных хостах. Все пакеты отслеживаются с целью выявления необычной активности. Оповещение происходит при изменении критических файлов в системе. 

Что такое система предотвращения вторжений (IPS)

IPS или система предотвращения вторжений, которая функционирует путем обнаружения угрожающих действий, сообщения о них и попытки предотвратить эти угрозы. Как правило, IPS находится прямо за брандмауэром. Этот тип системы чрезвычайно полезен для определения проблем, связанных со стратегиями безопасности, обнаружения киберпреступников и выявления угроз, связанных с документами.

Предотвращение угрожающей активности происходит в IPS путем изменения содержания атаки, перенастройки брандмауэров или другими способами. Некоторые пользователи воспринимают IPS как расширение IDS, в основном потому, что они отвечают за мониторинг сети.

Вот несколько методов, которые объясняют, как функционирует IPS:

• Мониторинг анализа протоколов с учетом состояния. Этот метод IPS функционирует путем сравнения всех действий с обобщенными правилами и таким образом обнаруживает отклонения.
• Мониторинг на основе подписей. Процесс в методе IPS обнаруживает пакеты в сети, после чего стандартные шаблоны (подписи) сравниваются с пакетами.
• Мониторинг на основе статистических аномалий. Подход функционирует путем проверки сетевой активности, а сравнение проводится на основе заранее установленной базовой линии. Эта линия определяет основные характеристики, которые считаются нормальными, такие как использование определенных протоколов или используемая пропускная способность. При наличии некоторых проблем с базовой конфигурацией результат может быть ложноположительным.   

После обнаружения подозрительной активности IPS может реагировать в соответствии со следующими сценариями:

• IPS может заблокировать пользователя, который нарушает некоторые шаблоны при доступе к сети, хосту или приложению.
• Еще один сценарий может быть связан с завершением TCP-сессии.
• Удаление угрожающего контента или зараженных данных после кибератаки.
• Изменение конфигурации брандмауэра для исключения возможности подобных атак в ближайшем будущем.

Классификация типов IPS:

• WIPS. Этот тип IPS обнаруживает несанкционированный доступ и устраняет его сразу после обнаружения. Такая система обычно функционирует как надстройка над инфраструктурой беспроводной локальной сети, но может использоваться и самостоятельно. С помощью WIPS можно предотвратить такие риски, как honeypot атаки, неавторизованные точки доступа, DDoS-атаки, подмена MAC-адресов и многие другие.
• HIPS. Эта система обычно работает, анализируя поведение кода на хосте, и таким образом обнаруживает странную активность. HIPS чрезвычайно полезна для защиты конфиденциальной информации от извлечения.
• NIPS. Обнаружение происходит путем анализа пакетов по сети. Сразу после установки происходит сбор данных о хосте и сети. Предотвращение атак осуществляется путем отклонения пакетов, ограничения пропускной способности и TCP-соединений.
• NBA. Этот анализ проводится на основе нормального/странного поведения в сети. Для того чтобы определить, что является нормой, а что нет, системе требуется некоторое время.

Интеграция: Могут ли IDS и IPS сотрудничать?

IDS и IPS функционируют для достижения общей цели – защиты инфраструктуры сети. В большинстве случаев эти системы обнаруживают странную активность, сравнивая ее со стандартными (нормальными) характеристиками поведения.  

IPS и IDS могут не только работать независимо друг от друга, но и быть интегрированы вместе. Более того, межсетевые экраны могут сотрудничать с IPS/IDS для более эффективной защиты системы. Такое сотрудничество называется UTM или NGFW.

IDS и IPS с брандмауэрами

В традиционном брандмауэре система работает таким образом, что запрещает/разрешает некоторые соединения в сети на основе заданных правил. В случае, если используются необходимые правила, то выполнение инструкций будет предотвращено. В общем, стандартные брандмауэры ограничивают доступ, но не могут полностью остановить злоумышленника в сети.

Функции IPS и IDS заключаются в обнаружении угроз в сети и оповещении о такой активности. Для максимального результата от всех этих технологий, они объедененны новыми межсетевыми экранами. Технология нового поколения объединила межсетевой экран с IPS/IDS.  

Ключевые совпадения между IDS и IPS​

Обе системы являются хорошими вариантами для борьбы с угрозами, связанными с сетевой инфраструктурой. В основном они работают, анализируя активность трафика и сравнивая ее с базой данных обычных и аномальных действий. IDS функционирует путем анализа активности трафика, в то время как IPS может даже влиять на процесс и контролировать его в некотором роде.

Между обеими системами есть несколько общих черт, и мы рассмотрим их здесь.  

1. Ориентированность на современные предприятия​

Современные предприятия как никогда ориентированы на удаленную работу. Очень многие компании перешли на такой режим работы во время пандемии и продолжают следовать ему, что требует больших объемов трафика и большего количества точек доступа в целом. Ручной анализ и мониторинг угроз стали практически бесполезными благодаря облачным средам. Кроме того, кибербезопасность совершенствует механизмы борьбы с различными рисками, и эти подходы также должны быть реализованы.

Поэтому и IPS, и IDS неотделимы от меняющегося мира кибербезопасности и идеально подходят для предприятий. Автоматизация большинства процессов делает обнаружение угроз намного проще и эффективнее, чем в прошлом. Не забывайте обновлять систему, когда это необходимо, и вы будете еще более защищены от самых последних рисков безопасности.   

2. Функциональность, основанная на базах данных или поведенческих моделях

Наиболее стандартные подходы, используемые в IDS и IPS, связаны с поведенческими моделями и теми, которые в основном ориентированы на базы данных сигнатур. Есть доля пользователей, которые даже предпочитают комбинировать эти подходы к кибербезопасности для достижения своих целей. Функционирование решения довольно простое: при обнаружении опасности происходит немедленное оповещение о возможной угрозе и даже автоматическое инициирование действий.

Системы обнаружения/предотвращения вторжений, основанные на базе данных, идеально подходят для идентификации стандартных кибератак. Здесь сетевая информация сравнивается со списком возможных индикаторов и таким образом определяется необычная активность.

При обнаружении совпадения подписей выбранная система для борьбы с вторжениями реагирует и решает существующие проблемы. Скорость обнаружения чрезвычайно высока, и это огромное преимущество, которое может заметить каждый пользователь. Небольшая проблема здесь может заключаться в базах данных, если угроза не будет там указана, она не будет обнаружена.  

С другой стороны, подход к вторжениям на основе моделей использует машинное обучение для обнаружения возможных угроз. Активность трафика всегда сравнивается с базовым уровнем, и таким образом можно заметить странную активность. Он не работает с конкретными подсказками, а больше ориентируется на необычное поведение.

3. Использование возможностей автоматизации

IPS и IDS являются отличными решениями по целому ряду причин, но главной из них считается автоматизация процессов. Благодаря автоматизации можно добиться более высоких результатов в обнаружении рисков и при этом использовать меньше ресурсов.

Системы для борьбы с вторжениями могут использовать программные или аппаратные подходы. Изначально большинство компаний использовали датчики на критических точках сети для анализа текущей ситуации. Позже на смену аппаратному подходу пришел программный, когда с помощью специальных инструментов можно осуществлять мониторинг данных. После обнаружения любых возможных рисков будет немедленно произведено оповещение. IPS может идти даже дальше оповещения, могут выполняться определенные автоматические действия.  

4. Упрощение процессов обеспечения соответствия

Существует множество отраслей, где процессы обеспечения соответствия нормативным требованиям имеют решающее значение, в частности, речь идет о финансовом секторе и здравоохранении. IPS и IDS могут стать отличным решением для корпораций, которые стремятся упростить процессы соблюдения нормативных требований.

С увеличением объема доступных цифровых данных анализ и постоянный мониторинг системы требуют все больше ресурсов, и это очевидно. В этом случае IPS/IDS могут быть чрезвычайно полезны для предотвращения несанкционированных действий с использованием преимущественно автоматизированных процессов.

Более глубокий мониторинг и анализ инфраструктуры крайне важен, когда речь идет о соблюдении строгих норм. С помощью этих систем обнаружения гораздо проще контролировать весь трафик, даже тот, который невидим для большинства других решений по обнаружению вторжений. Например, эти системы могут быстро заметить необычную активность в LAN-соединении, что очень важно для кибербезопасности.   

5. Эффективное применение бизнес-политик

Обеспечение соблюдения бизнес-политики – не самая простая задача для многих корпораций. Однако IPS и IDS могут значительно повлиять на этот процесс и помочь в эффективном внедрении стандартов высокой безопасности, а также повлиять на деловую этику.Чтобы понять, как функционируют все эти процессы, возьмем, к примеру, VPN. Если политика организации ориентирована на определенный VPN, то трафик других сервисов может быть легко заблокирован с помощью этой системы обнаружения вторжений.