Донецкий техникум промышленной автоматики

Запобігти і захистити

  1. ВИДИ IDPS
  2. МЕТОДИ ВИЯВЛЕННЯ
  3. ЕВОЛЮЦІЯ IDPS: ГАЛУЗЕВІ ТЕНДЕНЦІЇ
  4. ОСНОВНІ ВИРОБНИКИ НА СВІТОВОМУ РИНКУ IDPS
  6. ЗРОБЛЕНО У РОСІЇ: Приклади ВІТЧИЗНЯНИХ IDPS
  7. IDPS НА БАЗІ OPEN SOURCE

Програмні або програмно-апаратні системи виявлення та / або запобігання вторгнень (Intrusion Detection System / Intrusion Prevention System, IDS / IPS або IDPS) - один з найважливіших елементів систем інформаційної безпеки мереж будь-якого сучасного підприємства. Зростання числа проблем, пов'язаних з ІБ, привів до того, що такі системи дуже швидко стали ключовим компонентом будь-якої стратегії мережевого захисту.

Завдання IDPS - припиняти спроби несанкціонованого доступу до мережі, атаки зовнішніх хакерів або інсайдерів, а також запобігати можливі збитки, який шкідливі програми можуть нанести корпоративним ІТ-систем. Для цього застосовуються різні методи виявлення аномальної мережевої активності, спроб зміни повноважень доступу до корпоративних ресурсів або конфіденційних даних, використання вразливостей в програмному забезпеченні та ін. Системи IDPS повинні володіти наступними основними функціями:

  • виявлення вторгнень або мережевих атак;
  • запобігання вторгнень і атак;
  • автоматичне блокування мережевих атак;
  • недопущення подальшого розвитку мережевих атак;
  • визначення джерел атак;
  • прогнозування можливих атак;
  • виявлення вразливостей і контроль без-пеки;
  • збір даних для запобігання атак і усунення їх наслідків;
  • документування існуючих загроз.

ВИДИ IDPS

Такі системи включають в себе модулі збору, зберігання і аналізу подій, модулі моніторингу, управління, настройки і адміністрування, використовують бази даних про уразливість і репутаційні сервіси, але можуть відрізнятися типом сенсорів і механізмами аналізу подій. Функціонують вони на рівні мережі або на рівні окремого сервера.

Фізично IDPS можуть являти собою або пристрої, в тому числі багатофункціональні міжмережеві екрани нового покоління (NGFW) і комплексні системи безпеки (UTM), або віртуальні машини або програмний продукт. Вони можуть використовуватися як на майданчику замовника, так і у віртуальних середовищах провайдерів або публічних хмарах.

Здійснюючи глибокий аналіз протоколів і кореляцію подій, IDPS працюють в режимі реального часу, надаючи мінімальний вплив на пропускну спроможність і затримки в мережі. Вони часто застосовуються для перевірки трафіку, який вже пройшов через пристрої захисту периметра мережі - міжмережеві екрани і шлюзи безпеки.

Виділені IDPS встановлюються в різних місцях: за фаєрволом як додатковий рівень захисту, за контролером доставки додатків (балансувальник навантаження) для перевірки трафіку, а також в різних точках корпоративної мережі для захисту внутрішніх активів.

МЕТОДИ ВИЯВЛЕННЯ

Виявити вторгнення можна кількома способами: наприклад, по сигнатурам і аномалій протоколу, із застосуванням різних методів аналітики, за допомогою моніторингу, евристичних методів, виявлення аномального поведінки, за допомогою вдосконалених методів захисту від загроз (Advanced Threat Defense, ATD) і аналізу загроз (Threat Intelligence , TI). Ці просунуті методи розширюють можливості IDPS і одночасно допомагають скоротити число попереджень і помилкових спрацьовувань (див. Рис. 1).

Аналіз на відповідність сигнатурам набув широкого поширення, але не завжди ефективний: для його застосування може знадобитися попередня обробка трафіку, а якщо для атаки використовується вразливість «нульового дня», то сигнатури виявляються марними.

Один з найбільш прогресивних методів - автоматичне навчання на основі аналізу поведінки користувача. Перш за все, грунтуючись на накопичуваних даних, система будує модель нормального поведінки, а потім відстежує відхилення від неї. Оскільки модель поведінки користувача нестатічность, необхідно постійне навчання.

Системи нового покоління (NGIDPS) функціонують в режимі реального часу, здійснюють моніторинг програм, можуть задіяти сторонні бази сигнатур і вразливостей. Інновації в даній області фокусуються також на просунутій аналітиці та підтримки публічних хмар.

NGIDPS працюють на рівні додатків, використовують інформацію з різних джерел для прийняття рішень про блокування трафіку, аналізують виконуються і інші типи файлів, а гнучкий движок дозволяє задіяти нові джерела інформації і методи виявлення вторгнень. Наприклад, такі додаткові методи, як розширена аналітика поведінки (User and Entity Behavior Analytics, UEBA), служать для виявлення загроз, що не були виявлені іншими системами захисту. Подібні механізми виявлення аномального поведінки використовують в своїх продуктах Hillstone Networks і McAfee. До числа нових можливостей відноситься також аналітика подій безпеки чи стягуються в мережі даних телемет-рії (наприклад, IDPS Trend Micro).

Ще одна тенденція - інтеграція IDPS зі службами інтелектуального аналізу загроз і реагування на інциденти (приклад - продукти Cisco, FireEye), використання репутаційних сервісів (NSFOCUS). Інтеграція зі службами запобігання загрозам дозволяє наділити IDPS інтелектуальними функціями виявлення шкідливого ПЗ. Новітні системи використовують евристичні методи, застосовують для обробки подій алгоритми штучного інтелекту і машинного навчання (Alert Logic), що покращує їх здатність виявляти загрози та інциденти.

ЕВОЛЮЦІЯ IDPS: ГАЛУЗЕВІ ТЕНДЕНЦІЇ

Розробники продовжують удосконалювати системи IDPS, щоб підвищити їх ефективність і зменшити число помилкових спрацьовувань. Згідно з прогнозами Gartner, до кінця 2020 року 60% IDPS будуть забезпечені аналітичними методами, зокрема, мова йде про машинному навчанні та аналізі поведінки користувачів і мережевих елементів (сьогодні такими можливостями володіють менше 10% систем).

Функції виявлення і запобігання вторгнень все більшою мірою передаються міжмережевих екранів (NGFW), але, незважаючи на таку тенденцію (див. Рис. 2), IDPS поки забезпечують кращу ефективність виявлення та централізоване виконання функцій пре-дупреждения, виявлення вторгнень і дій у відповідь в мережі.

Ряд виробників пропонують IDPS не тільки як фізичні пристрої для локального розгортання, а й у вигляді віртуальних машин, розгорнутих в хмарних середовищах; в числі таких продуктів - Alert Logic і Venustech. За прогнозом Gartner, до кінця 2020 роки 70% нових автономних систем виявлення і запобігання вторгнень будуть розміщуватися не традиційно, за фаєрволом, а в хмарі (публічному або приватному).

Наприклад, хмарні сервіси IDPS вже надають Alert Logic, FireEye, Cisco і McAfee. Їх рішення можуть розгортатися в хмарі як ВМ. Ряд виробників пропонують IDPS для Amazon Web Services (AWS) і Microsoft Azure.

Комбінування застосовуваних в IDPS методів допомагає розробникам долати недоліки кожного з них. Актуальним напрямом залишається підвищення продуктивності алгоритмів для поліпшення співвідношення якість виявлення / швидкість спрацьовування.

Паралельно йде робота над точністю алгоритмів для зменшення числа помилкових спрацьовувань.

ОСНОВНІ ВИРОБНИКИ НА СВІТОВОМУ РИНКУ IDPS

Провідні виробники IDPS перераховані в звіті Gartner (Magic Quadrant for Intrusion Detection and Prevention Systems, січень 2018 року). За останні сім років ситуація дещо змінилася. Якщо раніше явними лідерами були McAfee, Sourcefire і HP, то тепер ці позиції, поряд з McAfee, міцно займають Cisco і Trend Micro.

Повний список провідних виробників IDPS, за версією Gartner, виглядає так:

  • Лідери: Cisco, Trend Micro, McAfee.
  • Претенденти: FireEye, Alert Logic, NSFOCUS.
  • Нішеві компанії: Venustech, Hillstone Networks.
  • Провидці: Vectra Networks.

ЗРОБЛЕНО У РОСІЇ: Приклади ВІТЧИЗНЯНИХ IDPS

Ситуацію на світовому ринку можна без коригування екстраполювати на російський ринок, де працюють місцеві виробники, а деякі зарубіжні рішення непопулярні або не представлені зовсім. Та й сертифіковані ФСТЕК і ФСБ системи, відомі в інших країнах, можна перерахувати по пальцях.

Згідно ФСТЕК Росії, IDPS діляться на шість класів захисту. Вони розрізняються рівнем інформаційних систем і оброблюваної інформацією (персональні дані, конфіденційні відомості, держтаємниця). За класифікацією ФСБ цей вид пристроїв відноситься до систем виявлення атак СОА, які діляться на чотири класи - від Г до А, при цьому кожен наступний клас включає в себе всі функції попередніх.

П'ять-сім років тому на ринку були присутні три російських рішення IPS: «Аргус», «Форпост» і «СТРУМОК-М» (останнє можна віднести до IPS лише умовно),? - а також сертифікований міжмережевий екран «РУБІКОН» компанії «Ешелон» . Сьогодні такі системи пропонують близько десятка російських виробників, але більшість з них - комплексні, багатофункціональні рішення, в яких IDPS є однією з підсистем.

Наприклад, Group-IB і АМТ ГРУП створили інтегроване рішення (див. Рис. 5), що дозволяє розділяти мережні сегменти, аналізувати внутрішній трафік, перевіряти будь-яку підозрілу активність, виявляти і припиняти спроби проникнення в ізольовані сегменти мережі або компрометації даних. Аналітична система постійно контролює ситуацію.

В іншому російському комплексному рішенні з мережевої безпеки - Traffic Inspector компанії «СМАРТ-СОФТ» - реалізований цілий набір функцій (організація доступу, контроль і облік трафіку, правила, міжмережевий екран, проксі-сервер, антивірусний захист, управління завантаженням каналу, блокування реклами, сайтів і спаму). Багаторівнева система безпеки забезпечує мережевий захист від зовнішніх атак за допомогою брандмауера, унікальної системи оповіщення про надмірну мережевої активності з наступною блокуванням, заборони доступу до шкідливим ресурсів, захисту від вірусів поштового і Web-трафіку.

Централізований комплекс для забезпечення безпеки мережевої інфраструктури і створення VPN-мереж з використанням алгоритмів ГОСТ «КОНТИНЕНТ» 3.7 компанії «Код Безпеки» предназ-начен для захисту периметра мережі, об'єднання філій підприємства в віртуальної приватної мережі (VPN), організації захищеного віддаленого доступу і виявлення вторгнень (див. рис. 6).

Система виявлення атак «Форпост» (див. Рис. 7) націлена на автоматичне виявлення впливів на інформаційну систему, які можуть бути класифіковані як комп'ютерні атаки або вторгнення, і блокування розвитку виявлених комп'ютерних атак. Вона аналізує трафік на рівнях 2-7 на швидкостях до 7 Гбіт / с.

Dionis DPS розробки компанії «Фактор-ТС» (див. Рис. 8) виконує функції маршрутизатора і міжмережевого екрану, має в своєму складі засоби криптографічного захисту інформації (СКЗИ). Це дозволяє вирішувати завдання різного ступеня складності - від надання безпечного доступу в Інтернет співробітникам компанії до об'єднання безлічі філій підприємства в єдину захищену мережу з системою виявлення і запобігання вторгнень.

Dionis DPS має сертифікат ФСТЕК на міжмережевий екран типу «А» 2-го класу захисту і на IDS рівня мережі 2-го класу захисту. Система виявлення / запобігання вторгнень реалізована на базі двигунів Snort і Suricata з можливістю локального і віддаленого поновлення правил.

IDPS НА БАЗІ OPEN SOURCE

Вільно розповсюджувані системи виявлення вторгнень, такі як Snort, популярні як у російських, так і зарубіжних розробників IDPS, включаючи Cisco. Останнім часом кілька російських компаній стали використовувати Snort в якості основи для власних систем виявлення вторгнень, сертифікуються в ФСТЕК або ФСБ.

У більшості вітчизняних розробок застосовуються готові до використання інструменти і рішення: движки Snort, Suricata, Bro, готові збірки Security Onion, інтерфейси Snorby, Squil, BASE, Aanval, Squert, набори правил Talos / VRT, Emerging Threats, а також SEIM OSSIM і Splunk .

Snort - безкоштовна система виявлення вторгнень, що дозволяє самостійно створювати правила для виявлення атак. Мова опису сигнатур Snort став стандартом де-факто для багатьох систем виявлення вторгнень, які застосовують його в своїх двигунах.

Suricata - це теж IDPS з відкритим вихідним кодом. Основна відмінність Suricata від Snort - можливість використання GPU (графічного процесора) в режимі IDS, більш просунута система IPS, багатозадачність і, як наслідок, висока продуктивність, що дозволяє обробляти трафік зі швидкістю до 10 Гбіт / с на звичайному обладнанні. Подібно Snort, Suricata складається з декількох модулів: захоплення, збір, декодування, виявлення і висновок. Крім унікальних напрацювань, в продукті використовуються практично всі функції Snort, в тому числі повністю підтримуються формати правил.

Переваги ПЗ з відкритим вихідним кодом відомі. Це низька вартість, відсутність прив'язки до обладнання виробника, гнучкі можливості адаптації під конкретні потреби. Але компанії доведеться утримувати своїх розробників і придбати необхідне обладнання.

З іншого боку, купуючи комерційне рішення, замовник отримує гарантії виробника, можливість оновлення програмних компонентів, певний рівень технічного супроводу і гарантований час реагування в разі збою в роботі системи. Однак комерційні рішення не завжди адаптуються під потреби замовника, а повне задоволення всім вимогам збільшує їх вартість. Що стосується автономних IDPS, то, згідно з прогнозами Gartner, цей ринок почне скорочуватися: дана технологія буде переноситися на нові платформи і форм-фактори, в публічні та приватні хмари.

Сергій Орлов, незалежний експерт ([email protected])

П'ять-сім років тому на ринку були присутні три російських рішення IPS: «Аргус», «Форпост» і «СТРУМОК-М» (останнє можна віднести до IPS лише умовно),?