Системы IDS/IPS: когда применять?

Ирина Момчилович
генеральный директор Rainbow Security

Цели, которые можно достичь, используя IDS/IPS при построении системы безопасности, и случаи, когда целесообразно применять эти системы, приведены в кратком "руководстве пользователя IDS/IPS".

Круглосуточное наблюдение за сетью

Если системный администратор компании перегружен просмотром файлов журналов, а сеть – потоком данных, которые необходимо контролировать, средства IDS/IPS помогут оптимизировать работу информационной среды и повысить пропускную способность сети. Как это работает?

Система IDS/IPS составляет "карту" сети, содержащую информацию о потенциально слабо защищенных местах, состоянии ОС, работе приложений и протоколов, количестве и типах сетевых устройств (рабочая станция, сервер, маршрутизатор) и пр. Так, имея исчерпывающую информацию о состоянии сети в реальном времени, IDS/IPS анализируют только те события, которые могут повлиять на безопасность системы, и не обрабатывают события, которые никак на ней не скажутся. Таким образом, за счет анализа только релевантных событий ресурсы системы расходуются намного экономнее и эффективнее.

Кроме того, система IDS/IPS облегчает работу администраторов за счет того, что может рекомендовать применять те или иные правила защиты от угроз, характерных для определенного семейства ОС, которые используются в организации. То есть к набору серверов Windows система автоматически рекомендует администратору применить набор только релевантных правил, защищающих от угроз, именно для Windows; к набору серверов Unix также применит только необходимые правила. Если администратор согласен с предложенными изменениями, система автоматически выполнит их настройку. Подобный функционал очень удобен, он позволяет экономить время и решать задачи обеспечения безопасности гораздо быстрее и результативнее.

Наблюдение за пользователями в режиме реального времени

Возможности наблюдения за трафиком и сбора информации об активности пользователей в сети дает компании массу преимуществ. Организация получает детализированные данные от LDAP-каталогов (полная информация об учетных записях пользователей в системе), и если на сеть была произведена попытка атаки, средства IDS/IPS предоставляют детализированные сведения о том, с компьютера какого пользователя она была предпринята.

Кроме того, становится гораздо легче идентифицировать пользователей, нарушивших политики безопасности. Если сотрудник воспользуется ОС с некорректными параметрами или неразрешенным приложением (например, Skype), администратор сможет узнать не только IP-адрес этого узла, но и контактные данные пользователя, с которым следует связаться. Таким образом, IDS/IPS-система позволяет IT-специалистам быстрее разрешать различные инциденты в области информационной безопасности.

Анализ поведения данных

Одной из дополнительных, но очень важных функций IDS/IPS, является их способность наблюдать за поведением всех сетевых устройств и создавать базовые профили их активности. Всю собранную информацию средства IDS/IPS представляют в виде детализированных отчетов и графиков, таким образом компания имеет четкое представление о нормализованном поведении каждого устройства в сети. Если выявляется какая-либо аномальная активность, сотрудники ИБ сразу получают все необходимые сведения и могут принять соответствующие меры по ее изучению и своевременному противодействию.

Нельзя также не отметить тот факт, что сегодня появляются системы IDS/IPS нового поколения, обладающие высочайшим уровнем автоматизации процессов и обеспечивающие в сотни раз меньше ложных срабатываний, чем IDS/IPS предыдущих версий. В то же время Next Generation IDS/IPS гораздо тщательнее отслеживают все события, происходящие в сети, и детальнее их анализируют. Для управления подобной системой требуется гораздо меньшее количество человеческих ресурсов, что делает Next Generation IDS/IPS доступной системой и для компаний среднего звена. Автоматизация всех процессов обнаружения и предотвращения вторжений намного повышает производительность системы и оптимизирует работу сети.