Cистема предотвращения вторжений
IPS — решение, которое позволяет выявлять угрозы безопасности и принимать меры по их устранению. Система работает автоматически и обеспечивает непрерывную защиту в режиме реального времени.
Чем IPS отличается от IDS
Системы предотвращения вторжений стали новым этапом развития систем обнаружения вторжений (IDS). Предыдущий вариант предназначен исключительно для выявления угроз. Обнаружив потенциальную уязвимость, IDS отправляет сообщение администратору, а тот предпринимает необходимые действия вручную.
IPS при обнаружении угрозы может выполнить одно из следующих действий:
- заблокировать источник вредоносного трафика по IP-адресу;
- не пропустить пакет трафика, если внутри обнаружены данные, представляющие угрозу;
- разорвать соединение, если продолжение работы несёт риски для системы;
- ограничить доступ к приложению с ненадёжным протоколом передачи данных для всей сети или отдельного устройства.
Выявив угрозу, IPS не только предпринимает определённые администратором в настройках меры, но и логирует её. Записи могут автоматически отправляться в SIEM-систему для анализа.
Использование IPS существенно ускоряет реакцию на выявленные угрозы, так как она не зависит от графика и скорости работы администратора. Сегодня ИБ-компании часто предлагают комплексные решения IDPS, то есть системы обнаружения и предотвращения вторжений.
IPS как часть NGFW
Система предотвращения вторжений может быть интегрирована в межсетевой экран следующего поколения (NGFW). В этом случае управлять правилами и политиками всех решений, которые защищают корпоративный трафик, можно в одном интерфейсе.
Методы анализа в IPS
Для выявления угроз система изучает трафик, комбинируя следующие методы анализа:
- Глубокий анализ пакетов (DPI). Обеспечивает изучение всего содержимого пакетов, в том числе по протоколам HTTP, SMTP, DNS, FTP, TLS.
- Сигнатурный. Основан на сравнении с имеющимися сведениями об угрозах и позволяет находить попытки уже известных атак.
- Поведенческий. Представляет собой поиск аномалий, то есть отклонений от привычного поведения пользователей и устройств.
Какими бывают IPS
Системы предотвращения вторжений различаются по месту установки и типу защищаемых объектов:
- Сетевая (NIPS) располагается между корпоративной сетью и интернетом, предотвращает внешние угрозы.
- Хостовая (HIPS) представляет собой модуль, функционирующий на конечном устройстве. Защищает от угроз внутри периметра.
- Wi-Fi-система (WIPS) защищает от вторжения беспроводные сети, выявляя факты несанкционированного подключения.
- Нового поколения (NGIPS) использует для выявления и предотвращения угроз более сложные техники, в том числе через машинное обучение и интеграцию с платформой автоматизации управления данными о киберугрозах (TIP).
Пошаговый план внедрения IPS
- Определить, что именно требует защиты.
- Адаптировать базовые политики и правила системы под свою компанию.
- Протестировать в режиме выявления, чтобы избежать необоснованных блокировок.
- Перевести систему в режим предотвращения.
- Регулярно анализировать её работу и вносить необходимые изменения.