Выявить и предупредить!

Даниил Пустовой
Менеджер по развитию DNA Distribution,
официального дистрибьютора компании
Thales e-Security в России

Современные технологии взлома и компрометации данных, а также социального инжиниринга не стоят на месте, и привычные пользователям антивирусные программы и файрволы не могут самостоятельно обеспечить достаточную защиту, предотвращая лишь ряд типовых угроз. Любую угрозу можно либо детектировать и предотвратить, либо устранить ее потенциальный вред, но на практике почти всегда приходится сочетать оба подхода. Речь идет о системах обнаружения и предупреждения вторжений (IDPS) и о криптографической защите данных. Чаще всего злоумышленники пытаются скомпрометировать закрытый ключ, закрытый алгоритм, цифровой сертификат или учетные записи. Например, утечка зашифрованной информации не принесет никакой пользы злоумышленникам, однако утечка или подмена ключей шифрования может быть равносильна компрометации или потере всей конфиденциальной информации.

Intrusion Detection System

Система обнаружения вторжений (Intrusion Detection System – IDS) – это программный или аппаратный комплекс, предназначенный для выявления неавторизованного доступа (сетевой атаки или вторжения) в рабочую среду или компьютерную сеть. IDS является дополнительным уровнем защиты системы и в зависимости от своего типа и назначения может определять различные типы сетевых атак, выявлять вредоносное ПО, попытки неавторизованного доступа, открытие нового порта, несанкционированное повышение привилегий и т.д. Даже в случае полностью отлаженной системы защиты мы не можем гарантировать, что не появятся новые уязвимости, связанные с недоработками производителя ПО, в этом случае IDS может стать единственным решением.

Классификация IDS

По способам мониторинга системы IDS обычно разделяют на две основные категории: NIDS и HIDS. Сетевые системы обнаружения вторжений (Network intrusion detection system – NIDS) занимаются анализом сетевого трафика по данным сенсоров, которые расположены в ключевых узлах сети.

Системы обнаружения вторжений на уровне хоста (Host-based intrusion detection system – HIDS) занимаются обнаружением вторжения посредством специальной службы, анализирующей системные запросы, логи активности приложений, изменения файловой системы и другие процессы, происходящие на уровне хоста.

Системы IDS способны выявить практически любую угрозу, но для того чтобы сохранить целостность и конфиденциальность информации, необходимо эту угрозу нейтрализовать. Для этих целей используется комплекс IPS.

Intrusion Prevention System

Система предотвращения вторжений – IPS (Intrusion Prevention System) – программное или аппаратное средство, осуществляющее мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности. По своим функциям и классификации аналогичны IDS. Главным отличием является то, что системы IPS способны функционировать в реальном времени, что позволяет в автоматическом режиме блокировать сетевые атаки. Системы IPS способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать сомнительные процессы, разрывать или блокировать сетевое соединение, по которому идет атака на базы данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов и переупорядочивание пакетов TCP для защиты от пакетов с измененными ACK-и SEQ-номерами. Каждая система IPS включает в себя модуль IDS.

Современные IDPS-системы даже от таких лидеров рынка, как IBM или Check Point, должны рассматриваться лишь как одно из необходимых, но дополнительных средств в арсенале ИБ, решение о применении которого зависит от типа защищаемой информации и инфраструктуры организации. Они не могут защитить от инсайдеров или методов социальной инженерии и для обеспечения близкой к абсолютной безопасности должны применяться совместно с аппаратными средствами криптографической защиты: шифрования данных, строгой аутентификации и управления ключами шифрования.