Системы обнаружения сетевых атак
Современный подход к организации информационной безопасности предприятий обеспечивается комплексом средств защиты информации, неотъемлемой частью которого являются системы обнаружения и предотвращения вторжений: Intrusion Detection System – IDS и Intrusion Prevention System – IPS. Отличия IDS от IPS заключаются в реакции на попытку вторжения: IDS решения фокусируются на выявлении попыток вторжения, в то время, как IPS, помимо выявления атак, могут осуществлять их блокировку. Зачастую решения IDS также обладают функционалом предотвращения вторжений.
В большинстве случаев сенсоры системы обнаружения и предотвращения вторжений устанавливаются на периметре корпоративной сети, за межсетевым экраном (по отношению к сети Интернет). Выбор данного места установки обусловлен тем, что подавляющее большинство сетевых атак на корпоративную инфраструктуру осуществляется из сети Интернет. Однако в последнее время просматривается тенденция установки сенсоров дополнительно – на границе сетевых сегментов внутри корпоративной ЛВС.
Большая часть межсетевых экранов, представленных на рынке, обладает функционалом IDS/IPS.
Современные решения IDS/IPS располагают функционалом глубокой инспекции пакетов (Deep Packet Inspection – DPI). Благодаря данному функционалу обеспечивается анализ сетевых пакетов на всех уровнях модели OSI.
Системы предотвращения вторжений могут осуществлять выявление атак в сетевом трафике, используя сигнатурный анализ, а также используя поведенческий анализ с целью выявления аномалий.
Сигнатурный подход к выявлению сетевых атак схож с работой антивируса на рабочих станциях и серверах. Осуществляя анализ сетевого трафика, IDS/IPS системы сопоставляют набор параметров сетевых пакетов с собственной базой сигнатур и в случае срабатывания сигнатур оповещают об атаке или блокируют соединение.
Поведенческий подход заключается в профилировании сетевого трафика в целом и отдельных протоколов, сетевых сегментов и даже хостов. Профилирование осуществляется с использованием машинного обучения на образцах сетевого трафика. Обычно обучение проводится в течение тестового периода, после чего системы обнаружения вторжений сравнивают «эталонный» трафик с текущим, выявляя атаки в отклонениях от профиля.
Синергетический эффект от такого совместного подхода обеспечивает крайне высокий уровень защищенности, что вместе с использованием других классов средств защиты информации (межсетевые экраны, антивирусы, межсетевые экраны прикладного уровня, DLP системы, системы анализа защищенности, SIEM, UEBA и др.) позволяет гарантировать комплексный подход к обеспечению информационной безопасности корпоративной инфраструктуры, который существенно снижает вероятность успешных атак со стороны злоумышленников.