Спільна робота систем виявлення та запобігання вторгнень забезпечує найбільший рівень безпеки.

Концепція рівневої безпеки має ключове значення для захисту мережі будь-якого розміру, і для більшості компаній це означає, що необхідно розгортати як системи виявлення вторгнень (IDS) так і системи запобігання вторгнень (IPS). Коли мова заходить про IPS і IDS, питання полягає не в тому, які технології потрібно додати до вашої інфраструктурі безпеки, а в тому, що обидві необхідні для забезпечення максимального захисту від шкідливого трафіку. У самому справі, розробники таких систем все частіше об’єднують ці дві технології в одному пристрої.

Переваги IDS

В основному, IDS пристрою пасивні, вони спостерігають за пакетами даних, що передаються по мережі, моніторять певні порти, порівнюють трафік з певним набором правил і посилають оповіщення, якщо виявляють щось підозріле. IDS може виявити кілька видів шкідливого трафіку, який може пропустити звичайний брандмауер, включаючи мережеві атаки на певні служби, може видати дані по атак на додатки, виявити спроби несанкціонованого доступу та дії шкідливих програм, вірусів, троянів і черв’яків. Більшість продуктів IDS використовують кілька методів виявлення загроз, зазвичай заснованих на певних сигнатурах і детальному аналізі протоколів.

IDS фіксує події, які зареєстровані датчиками в базі даних, генерує оповіщення і посилає їх адміністратору мережі. Оскільки IDS дає широке уявлення про активність в мережі, воно також може бути використано при виявленні проблем, пов’язаних з політикою безпеки, документування існуючих загроз, а також заважають користувачам порушувати політики безпеки.

Основний недолік IDS велика кількість помилкових спрацьовувань, деякий допустимий трафік позначається як шкідливий. Необхідна настройка пристрої для забезпечення максимальної точності правильних спрацьовувань при виявленні загроз з одночасним зведенням до мінімуму кількості помилкових спрацьовувань. Такі пристрої повинні регулярно підлаштовуватися до нових загроз виявленим в мережі. Також необхідна підстроювання при зміні структури мережі. Оскільки технології удосконалювалися в останні кілька років, кількість помилкових спрацьовувань зменшується. Тим не менш, повної їх ліквідації при збереженні суворого контролю, добитися неможливо — навіть на IPS, які деякі вважають наступним кроком в еволюції IDS.

IPS Переваги

В основному IPS мають всі риси хороших IDS, але вони також можуть зупинити небезпечний трафік при вторгненні в мережу. На відміну від IDS, IPS сидять в середині транспортних потоків мережі, активно припиняючи спроби нападу. Вони можуть зупинити атаки шляхом відключення мережевого з’єднання або блокування сесії користувача, від якого відбуваються напади, блокуючи доступ до облікових записів користувача, IP-адресами або блокує доступ до хосту, сервісу або додатком.

Крім того, IPS може реагувати на загрози, виявлені в двох інших напрямках. Вони можуть переналаштувати інші системи контролю безпеки, такі як брандмауер або маршрутизатор, щоб блокувати атаку. Деякі IPS пристрої можуть навіть застосувати патчі, якщо хост має особливу вразливість. Крім того, деякі IPS можуть видаляти шкідливе вміст пакетів, можливо навіть видалення зараженого вкладення файлу електронної пошти до пересилання її користувачеві.

Подвійний захист

Оскільки IDS і IPS пристрої знаходяться в різних точках мережі, вони можуть і повинні бути використані одночасно. IPS продукти встановлені «по периметру» мережі і дозволяють блокувати атаки негайно, як, наприклад, атаки черв’яків і вірусів, навіть самі нові загрози можуть бути заблоковані. IDS продукти, встановлені усередині брандмауера буде контролювати внутрішню активність, щоб протистояти інсайдерським загрозам і додадуть наочність в безпеці подій в минулому і сьогоденні.

Вибір продукту, який пропонує обидві технології може бути найбільш економічним і ефективним підходом. В одному пристрої ви можете включити IDS з боку мережі та включити IPS з різних джерел. Це практично віртуальні пристрої.

За мотивами