Разное

Система IPS — современное средство создания электронных архивов, систем документооборота, PDM и PLM. Обзор корпоративных IPS-решений на российском рынке

05.07.2019
Система IPS — современное средство создания электронных архивов, систем документооборота, PDM и PLM. Обзор корпоративных IPS-решений на российском рынке

Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.

Общее описание технологии

Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:

  • Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
  • Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
  • Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:

  • IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
  • IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
  • IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).

Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.

Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.

1. Обнаружение атаки, основанное на сигнатурах.

Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:

  • соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
  • входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
  • лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.

2. Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.

Технология IDS/IPS в ALTELL NEO

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO

Функция Поддержка
1. Обнаружение уязвимостей (эксплойтов) компонент ActiveX
2. Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки
3. Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C)
4. Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями
5. Обнаружение сетевого трафика от взломанных сетевых узлов
6. Обнаружение сетевого трафика, направленного на сервера DNS
7. Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service)
8. Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list
9. Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield
10. Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов)
11. Обнаружение трафика, характерного для компьютерных игр
12. Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов
13. Обнаружение сетевого трафика, характерного для атак на сервисы IMAP
14. Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации
15. Обнаружение сетевого трафика, характерного для вредоносных программ (malware)
16. Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS
17 . Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети)
18. Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP)
19. Обнаружение трафика, характерного для атак на сервисы POP3
20. Обнаружение сетевого трафика от узлов сети Russian Business Network
21. Обнаружение атак на сервисы RPC (удаленный вызов процедур)
22. Обнаружение сетевого трафика программ сканирования портов
23. Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера)
24. Обнаружение трафика, характерного для атак на сервисы SMTP
25. Обнаружение сетевого трафика протокола SNMP
26. Обнаружение правил для различных программ баз данных SQL
27. Обнаружение сетевого трафика протокола Telnet в сети
28. Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP)
29. Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности
30. Обнаружение трафика, характерного для троянских программ
31. Обнаружение атак на пользовательские агенты
32. Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO)
33. Обнаружение сетевого трафика, характерного для атак на сервисы VoIP
34. Обнаружение уязвимостей (эксплойтов) для web-клиентов
35. Обнаружение атак на web-серверы
36. Обнаружение атак на основе инъекций SQL (sql-injection attacks)
37. Обнаружение сетевого трафика, характерного для сетевых червей
38. Защита от хакерских атак

Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.

В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

  • Alert (режим IDS) - трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
  • Drop (режим IPS) - анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
  • Reject (режим IPS) - в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
  • Pass (режим IDS и IPS) - в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.


Бесплатное тестирование

Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью

В идеальном мире, в Вашу сеть заходят только те кто нужно - коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Но как только Вы приходите к решению что хотите открыть доступ к Вашей внутренней сети в режиме 24/7 Вам следует понимать что пользоваться этой «дверью» будут не только «хорошие парни». Обычно в ответ не такое утверждение можно услышать что-то типа «ну это не про нас, у нас маленькая компания», «да кому мы нужны», «что у нас ломать то, нечего».

И это не совсем верно. Даже если представить компанию, в которой на компьютерах нет ничего, кроме свежеустановленной ОС - это ресурсы. Ресурсы которые могут работать. И не только на Вас.

Поэтому даже в этом случае эти машины могут стать целью атакущих, например, для создания ботнета, майнинга биткоинов, крэкинга хэшей…

Еще существует вариант использования машин Вашей сети для проксирования запросов атакущих. Таким образом, их нелегальная деятельность ввяжет Вас в цепочку следования пакетов и как минимум добавит головной боли компании в случае разбирательств.

И тут возникает вопрос: а как отличить легальные действия от нелегальных?

Собственно, на этот вопрос и должна отвечать система обнаружения вторжений. С помощью нее Вы можете детектировать большинство well-known атак на свою сеть, и успеть остановить атакующих до того как они доберутся до чего-либо важного.

Обычно, на этом моменте рассуждений возникает мысль что то, что описано выше может выполнять обычный firewall. И это правильно, но не во всем.

Разница между функциями firewall и IDS на первый взгляд может быть не видна. Но IDS обычно умеет понимать контент пакетов, заголовки и содержание, флаги и опции, а не только порты и IP адреса. То есть IDS понимает контекст чего обычно не умеет firewall. Исходя из того, можно сказать что IDS выполняет функции Firewall, но более интеллектуально. Для обычного Firewall нетипична ситуация когда нужно, например, разрешать соединения на порт 22 (ssh), но блокировать только некоторые пакеты, в которых содержатся определенные сигнатуры.

Современные Firewall могут быть дополнены различными плагинами, которые могут делать похожие вещи, связанные с deep-inspection пакетов. Часто такие плагины предлагают сами вендоры IDS чтобы усилить связку Firewall — IDS.

В качестве абстракции, Вы можете представить себе IDS в качестве системы сигнализации Вашего дома или офиса. IDS будет мониторить периметр и даст Вам знать когда произойдет что-то непредусмотренное. Но при этом IDS никак не будет препятствовать проникновению.

И эта особенность приводит к тому что в чистом виде IDS, скорее всего, не то что Вы хотите от Вашей системы безопасности (скорее всего, Вы не захотите такую систему для охраны Вашего дома или офиса - в ней нет никаких замков).

Поэтому сейчас почти любая IDS это комбинация IDS и IPS (Intrusion Prevention System - Система предотвращения вторжений).

Далее, необходимо четко понимать чем отличаются IDS и VS (Vulnerability Scanner - Сканер уязвимостей). А отличаются они по принципу действия. Сканеры уязвомостей - это превентивная мера. Вы можете просканировать все свои ресурсы. Если сканер что-нибудь найдет, можно это исправить.

Но, после того момента как Вы провели сканирование и до следующего сканирования в инфраструктуре могут произойти изменения, и Ваше сканирование теряет смысл, так как больше не отражает реальное положение дел. Измениться могут такие вещи как конфигурации, настройки отдельных сервисов, новые пользователи, права существующих пользователей, добавиться новые ресурсы и сервисы в сети.

Отличие же IDS в том что они проводят детектирование в реальном времени, с текущей конфигурацией.

Важно понимать, что IDS, по факту, не знает ничего об уязвимостях в сервисах в сети. Ей это не нужно. Она детектирует атаки по своим правилам - по факту появления сигнатур в трафике в сети. Таким образом, если IDS будет содержать, например, сигнатуры для атак на Apache WebServer, а у Вас его нигде нету - IDS все равно детектирует пакеты с такими сигнатурами (возможно, кто-то пытается направить эксплоит от апача на nginx по незнанию, либо это делает автоматизированный toolkit).

Конечно же, такая атака на несуществующий сервис ни к чему не приведет, но с IDS Вы будете в курсе что такая активность имеет место.

Хорошим решением является объединение периодических сканирований уязвимостей и включенной IDS/IPS.

Методы детектирования вторжений. Программные и аппаратные решения.

Сегодня много вендоров предлагают свои решения IDS/IPS. И все они реализуют свои продукты по разному.

Разные подходы обусловлены разными подходами к категоризации событий безопасности, атак и вторжений.

Первое, что надо учитывать - это масштаб: будет ли IDS/IPS работать только с трафиков конкретного хоста, или же она будет исследовать трафик целой сети.

Второе, это то как изначально позиционируется продукт: это может программное решение, а может быть аппаратное.

Давайте посмотрим на, так называемые, Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS является, как раз, примером программной реализации продукта и устанавливается на одну машину. Таким образом, система такого типа «видит» только информацию, доступную данной машине и, соответственно, детектирует атаки только затрагивающие эту машину. Преимущество систем такого типа в том, что будучи на машине, они видят всю ее внутреннюю структуру и могут контролировать и проверять намного больше объектов. Не только внешний трафик.

Такие системы обычно следят за лог-файлами, пытаются выявить аномалии в потоках событий, хранят контрольные суммы критичных файлов конфигураций и периодически сравнивают не изменил ли кто-то эти файлы.

А теперь давайте сравним такие системы с network-based системами (NIDS) о которых мы говорили в самом начале.

Для работы NIDS необходим, по сути, только сетевой интерфейс, с которого NIDS сможет получать трафик.

Далее все что делает NIDS - это сравнивает трафик с заранее заданными паттернами (сигнатурами) атак, и как только что-то попадает под сигнатуру атаки, Вы получаете уведомление о попытке вторжения. NIDS также способны детектировать DoS и некоторые другие типы атак, которые HIDS просто не может видеть.

Можно подойти к сравнению и с другой стороны:

Если Вы выбираете IDS/IPS реализованную как программное решение, то получаете контроль над тем на какое «железо» Вы будете ее устанавливать. И, в случае, если «железо» уже есть, Вы можете сэкономить.

Также в программной реализации существуют и бесплатные варианты IDS/IPS. Конечно, надо понимать, что используя бесплатные системы Вы не получаете такого же саппорта, скорости обновлений и решения проблем, как с платными вариантами. Но это хороший вариант для начала. В ними Вы можете понять что Вам действительно нужно от таких систем, увидите чего не хватает, что ненужно, выявите проблемы, и будете знать что спросить у вендоров платных систем в самом начале.

Если же Вы выбираете hardware решение, то получаете коробку, уже практически готовую к использованию. Плюсы от такой реализации очевидны — «железо» выбирает вендор, и он должен гарантировать что на этом железе его решение работает с заявленными характеристиками(не тормозит, не виснет). Обычно внутри находится некая разновидность Linux дистрибутива с уже установленным ПО. Такие дистрибутивы обычно сильно урезаны чтобы обеспечивать быструю скорость работы, оставляются только необходимые пакеты и утилиты (заодно решается проблема размера комплекта на диске - чем меньше тем меньше нужен HDD - тем меньше себестоимость - тем больше прибыль!).

Программные же решения часто очень требовательны к вычислительными ресурсам.

Отчасти из-за того в «коробке» работает только IDS/IPS, а на серверах с программными IDS/IPS обычно запущено всегда очень много дополнительных вещей.

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

Что такое система предотвращения атак

Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). IDS изначально лишь детектировали угрозы прослушивая трафик в сети и на хостах, а затем посылали администратору оповещения различными способами. IPS сейчас блокируют атаки сразу в момент их обнаружения, хотя могут и работать в режиме IDS - только оповещая о проблемах.

Иногда функционал IPS понимают как совместное функционирование в одном устройстве и IDS и firewall. Это часто вызвано тем, что некоторые IPS имеют встроенные правила блокирования пакетов по адресу источника и получателя. Однако, это не firewall. В firewall блокирование трафика полностью зависит от вашего умения настраивать правила, а в IPS от умения программистов производителя писать безошибочные алгоритмы поиска атак в идущем по сети трафике. Есть еще одна «похожесть»: технология firewall, известная как statefull inspection, очень похожа на одну из технологий, используемых в IPS для идентификации принадлежности разных соединений одному сетевому протоколу, и тут она называется port following. Различий гораздо больше, например, Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет.

Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. Для работы в соответствующем режиме в IPS встраивают так называемый модуль обхода. Благодаря ему, даже если вы случайно выключите питание IPS, то трафик будет идти свободно через устройство. Иногда IPS тоже настраивают блокировать трафик при выходе из строя - но это частные случаи, чаще всего используемые, когда два устроства используются в режиме High Avalability.
IPS это значительно более сложное устройство чем firewall. IPS используют для угроз, с которыми последний не справился. IPS заключает в себе концентрированные знания огромного числа специалистов по безопасности, которые выявили, нашли закономерности и затем запрограммировали код, выявляющий проблемы, в виде правил анализа контента идущего по сети.

IPS в корпоративных сетях являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. В итоге, для каждой атаки сейчас есть возможности не только идентифицировать ее, а затем оповестить администратора или заблокировать, но и провести полный анализ инцидента: собрать пакеты идущие от атакующего, инициировать расследование, произвести устранение уязвимости путем модификации пакета.

В сочетании с правильной системой управления безопасностью появляется возможность контролировать действия самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. Что, в общем, внесло осязаемый смысл в работу таких систем. Какой смысл говорить о проблемах в сети, если на эти проблемы никто не реагирует и не несет ответственности за это? Всем известна эта вечная проблема: тот кто несет убытки от нарушения работы компьютерной системы и тот кто защищает эту систему - разные люди. Если не рассматривать крайний случай, например, домашнего компьютера подключенного к Интернет.

Задержки трафика

С одной стороны хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее самим устройством. Но с другой стороны системы предотвращения атак приходится ставить не на SPAN порт свитча, а пропускать весь сетевой трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети. А в случае с VoIP это критично, хотя, если вы собираетесь защищаться от атак на VoIP, то другого способа защититься от таких атак нет.

Таким образом, одной из характеристик, по которой вам необходимо оценивать систему предотвращения атак при покупке являются величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно почитать исследования независимых тестовых лабораторий, например NSS. Доверять производителю одно, а проверить самому - другое.

Количество ложных срабатываний

Второй характеристикой на которую нужно смотреть: количество ложных срабатываний. Так же как мы раздражаемся от спама, точно такое же впечатление производят ложные срабатывания на администраторов безопасности. В конце концов администраторы, чтобы защитить свою психику, просто перестают реагировать на все сообщения системы и ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить эту систему более менее адекватно именно к угрозам в вашей сети нужно потратить уйму времени.

В некоторых системах обнаружения и предотвращения атак встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например от сканера безопасности. Например, если сканер безопасности увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со сто процентной уверенностью сказать что атака червя Slammer (которая нацелена на MS SQL) на данный сервер не пройдет. Таким образом такие системы корреляции помечают часть атак как неудавшиеся, что сильно облегчает работу администратора.

Современность защитных технологий

Третьей характеристикой являются методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Изначально существует два разных подхода: сигнатурные IPS ищут атаки, основываясь на найденных ранее эксплойтах, а IPS с анализом протоколов ищут атаки на базе знаний о найденных ранее уязвимостях. Если написать новый эксплойт для той же уязвимости, то IPS первого класса не обнаружат и не блокируют его, а второго класса и обнаружат и заблокируют. IPS второго класса гораздо эффективнее, поскольку блокируют целые классы атак. В итоге, у одного производителя нужно 100 сигнатур для обнаружения всех разновидностей одной и той же атаки, у другого достаточно одного правила, анализирующего уязвимость протокола или формата данных, которыми все эти разновидности атак пользуются. Недавно появился термин превентивная защита. В него включаются и возможность защиты от атак, которые еще неизвестны и защита от атак, которые уже известны, но производитель еще не выпустил патча. Вообще слово «превентивная» очередной американизм. Есть более русский термин: «своевременная» - та защита, которая срабатывает до того как нас взломали или заразили, а не после. Такие технологии уже есть и их надо использовать. Спросите у производителя при покупке: какие технологии превентивной защиты у них использованы и вы все поймете.

К сожалению, еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому вам для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов. Другое будет использовать методы статистические и аналитические по анализу аномалий в поведении сетевых потоков. Сигнатурные методы еще используются во многих системах обнаружения и предотвращения атак, но к сожалению они не оправдывают себя. Они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Сигнатурные антивирусы не справляются сейчас с новыми вирусами по той же причине - реактивность защиты. Поэтому, самыми передовыми методами анализа атак сейчас является полный анализ протокола. Идея этого метода в том, что анализируется не конкретная атака, а в самом протоколе ищется признак использования уязвимости атакующим. Например, система может отследить был ли перед началом TCP пакета с атакой трехпакетный обмен по установлению TCP соединения (пакеты с флагами SYN, SYN+ACK, ACK). Если перед проведением атаки нужно установление соединения, то система по анализу протоколов проверит были ли оно и если пойдет пакет с атакой без установления соединения, то она обнаружит, что такая атака неуспешна, поскольку соединения не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по другому. Они анализируют сетевой трафик (например, около недели) и запоминают какие сетевые потоки идут обычно. Как только возникает трафик, который не соответствует запомненному поведению - ясно, что в сети что-то происходит новое: например, распространение нового червя. Кроме того, такие системы связаны с центром обновлений и раз в час или чаще получают новые правила поведения червей и и другие обновления, например, списки фишинговых сайтов, что позволяет им их сразу блокировать, или списки хостов управления бот сетями, что сразу позволяет детектировать заражение какого-то хоста, как только он пытается соедиться с центром управления бот сетью и т.д.

Даже появление нового хоста в сети - для поведенческой системы важное событие: надо узнать что за хост, что на нем установлено, есть ли на нем уязвимости, а может новый хост сам будет атакующим. Для провайдеров такие поведенческие системы важны тем, что они позволяют отслеживать изменения в «грузопотоке», ведь провайдеру важно обеспечить скорость и надежность доставки пакетов, а если вдруг с утра оказалось, что весь трафик идет по одному каналу и не умещается в нем, а остальные несколько каналов в Интернет через других провайдеров незадействованы, то это значит, что где-то сбились настройки и надо заняться балансировкой и перераспределением нагрузки.
Для хозяина небольшой сети важно, что внутри не завелись атакующие, чтобы сеть не записали в черный список спамеров, чтобы атакующие не забили весь канал в Интернет мусором. А ведь за Интернет канал и трафик надо платить провайдеру деньги. Каждый директор фирмы хотел бы вовремя обнаруживать и останавливать трату денег на трафик бесполезный для бизнеса.

Анализируемые протоколы и форматы данных

Если мы говорим о технических специалистах, которые принимают решение о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно вас интересует что-то конкретное: например анализ атак в javascript, или отражение попыток sql injection, или DDoS атак, или у вас вообще SCADA (система контроля и управления датчиками) и нужно анализировать протоколы вашей специализированной системы, или вам критично защищать протоколы VoIP, в которых уже имеются уязвимости при реализации в силу их сложности.
Кроме того, не все знают, что события IPS бывают не только типа «атака», бывают еще типы «аудит» и «статус». Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ - её использование - атака. Если нет - значит вы просто можете отслеживать все подключения и кто с кем общается. Или просто отключить эту сигнатуру, если считаете это нетичным.

Специалисты

Возникает вопрос: где же брать таких специалистов, которые разбираются что нужно купить, и которые потом будут знать как реагировать на каждое сообщение системы предотвращения атак и даже смогут ее настраивать. Понятно, что можно пойти на курсы по обучению управлением такой системы, но на самом деле человек должен сначала разбираться в сетевых протоколах, потом в сетевых атаках, а потом в методах реагирования. А такие курсы отсутствуют. Тут нужен опыт. Есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений поступающих с консолей систем безопасности. В них работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернет и они обеспечивают эффективную защиту, а вы в свою очередь избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии имеющихся средств защиты начиная от VPN и заканчивая антивирусами. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А нанять специалиста обычно можно только на работу с понедельника по пятницу с 9 до 18, и то он иногда болеет, учится, ходит на конференции, ездит в командировки и, бывает, что неожиданно увольняется.

Поддержка продукта

Важно подчеркнуть такой момент в IPS как поддержка своих продуктов производителем. К сожалению обновления алгоритмов, сигнатур и правил до сих пор необходимы, поскольку технологии и злоумышленники не стоят на месте и нужно постоянно закрывать новые классы уязвимостей в новых технологиях. Каждый год находят несколько тысяч уязвимостей. Наверняка, ваши программные и аппаратные средства содержат несколько из них. Как вы узнавали про уязвимости в них и как потом защищались? А ведь нужен постоянный контроль за актуальностью защиты. Поэтому важным компонентом является постоянная поддержка защитных средств, которым вы доверили безопасность своей компании: наличие профессиональной команды, которая постоянно отслеживает новые уязвимости и своевременно пишет новые проверки, которая сама ищет уязвимости, чтобы быть впереди злоумышленников. Так что когда покупаете такую сложную систему как IPS посмотрите на то, какую поддержку предлагает производитель. Нелишне узнать насколько хорошо и вовремя он справился с атаками, которые уже были в прошлом.

Защита от методов обхода IPS

На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. (Управление IPS осуществляется через отдельный порт управления.) Однако, существуют методы обхода IPS, позволяющие его «обмануть» и провести атаку на защищаемые ими сети. В популярной литературе эти методы подробно описаны. Например, тестовая лаборатория NSS активно использует методы обхода для проверки IPS. Производителям IPS сложно противодействовать этим методам. И то, как производитель справляется с методами обхода и является еще одной интересной характеристикой системы предотвращения атак.

Важность использования IPS в корпоративных сетях назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак уже разработаны, так что остается только их грамотно установить и эксплуатировать. В статье специально не были названы имена производителей, чтобы сделать обзор свойств IPS максимально непредвзятым.

Системы предотвращения вторжений (IPS-системы).
Защита компьютера от несанкционированного доступа.

Системы предотвращения вторжений – активные средства информационной защиты, которые не только обнаруживают, но и защищают от вторжений и нарушений безопасности. Для таких систем традиционно используется аббревиатура IPS (от англ. Intrusion Prevention System – система предотвращения вторжений). IPS-системы являются улучшенной версией систем обнаружения вторжений , в которых реализуется функционал автоматической защиты от киберугроз. Системы предотвращения вторжений способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать подозрительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на хранилища данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.

Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.


Если говорить о преимуществах систем предотвращения вторжений типа HIPS, то главным, несомненно, является исключительно высокий уровень защиты. Эксперты по информационной безопасности сходятся во мнении, что системы HIPS способны дать практически 100% защиту от любого, даже новейшего, вредоносного ПО, а также любых попыток несанкционированного доступа к конфиденциальной информации. Это защита, которая превосходно выполняет свою главную функцию – защищать. Ни одно традиционное средство информационной безопасности не способно похвастать таким уровнем защиты.


Инструменты и методики HIPS лежат в основе средств информационной безопасности компании SafenSoft. В наших продуктах сочетаются все преимущества систем предотвращения вторжений и традиционных средств защиты. Проактивная защита SoftControl предотвращает любые попытки несанкционированного доступа к данным и программной среде домашних ПК (продукты SysWatch Personal и SysWatch Deluxe), рабочих станций корпоративных сетей (комплекс Enterprise Suite), банкоматов и платёжных терминалов (TPSecure и TPSecure Teller). Наша запатентованная технология контроля приложений V.I.P.O.® объединяет в себе 3 уровня защиты: контролирует все исполняемые приложения, использует динамическую песочницу для запуска подозрительных процессов и управляет доступом приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам. Решения SoftControl способны работать параллельно с антивирусными пакетами, обеспечивая полную защиту программной среды компьютера. При работе в локальной сети, продукты SoftControl имеют удобное централизованное управление и систему оповещения администратора об угрозах. В отличие от традиционных средств защиты, решения SoftControl не требуют постоянных обновлений баз данных сигнатур.

Дмитрий Волков
Руководитель направления расследования ИТ-инцидентов, Group-IB

Современное развитие IPS

Сетевые системы предотвращения вторжений (IPS) могут стать как эффективным инструментом для людей, занимающихся безопасностью, так и дорогостоящей железякой, пылящейся без дела. Чтобы IPS-система не стала разочарованием, она должна как минимум отвечать следующим требованиям, которые необходимо учитывать при ее выборе.

Система должна:

  1. иметь широкий круг моделей, удовлетворяющих требованиям как маленьких региональных офисов, так и основного предприятия с многогигабитными сетями;
  2. поддерживать не только сигнатурный анализ, но и аномальный анализ протоколов, и, конечно же, поведенческий анализ;
  3. давать ясную картину сети и устройств, подключенных в нее;
  4. обеспечивать работу в режиме IDS, осуществлять поведенческий анализ, иметь инструментарий для проведения расследований;
  5. иметь централизованное управление установленными IPS/IDS-системами;
  6. иметь хорошие средства анализа для эффективного усовершенствования политик безопасности.

IDS/IPS-системы чаще всего подключают там, где есть критичные ресурсы. Но помимо того, что необходимо блокировать атаки на эти ресурсы, следует вести постоянный контроль за ними, а именно: знать, какие из этих ресурсов уязвимы, как изменяется их поведение в сети. Поэтому к IDS/IPS-системам необходимо добавить дополнительный функционал, позволяющий им защищать требуемые ресурсы более надежно, снижая при этом стоимость владения. Итак, защита может осуществляться в три фазы - IPS, Adaptive IPS, Enterprise Threat Management. Функционал каждой последующей фазы включает в себя все функции из предыдущей фазы и наращивается более новыми.


Фаза 1. Вы можете контролировать и/или блокировать атаки, использующие тысячи уязвимостей, то есть это стандартные IPS-сенсоры и центры управления ими.

Фаза 2. Появляется возможность исследования сети, прио-ритизации событий и автоматизации настройки IPS.

Фаза 3. Полный возможный функционал для защиты корпоративной сети до, во время и после атаки.

ETM - это первое воплощение осознанности того, что, защищая информационные ресурсы, необходимо работать умнее, а не усиленнее. С технологической точки зрения ETM - это комбинация четырех технологий управления угрозами и уязвимостями, объединенных в единое решение, управляющееся централизованно. В результате это решение предоставляет больше возможностей, чем каждый продукт по отдельности. Как показано на рис. 3, ETM состоит из системы предотвращения вторжений (IPS), поведенческого анализа сети (NBA), контроля доступа в сеть (NAC), анализа уязвимостей (VA), подсистемы обмена данными и централизованного управления.

Сравнение производителей IPS

На рис. 4 показано, кто из производителей IPS-систем находится в лидерах. Но, не привязываясь к Gartner, посмотрим на то, какой функционал имеется у каждого производителя.

Как видно, у некоторых отсутствуют такие важные функции, как расследование на пакетном уровне, а также просмотр и создание правил. Без таких возможностей порой абсолютно непонятно, почему система выдает предупреждения, и чтобы выяснить причину этих предупреждений, потребуется много времени.

Отсутствие механизма создания политик соответствия тоже накладывает определенные ограничения. Например, при внешнем аудите полезно продемонстрировать, как положения ваших политик выполняются на самом деле. Дальнейшие комментарии излишни, так как истинное положение вещей станет ясно лишь после реального внедрения в промышленной среде.

Необходимо помнить, что обеспечение сетевой безопасности - задача комплексная, а разрозненные решения далеко не всегда обеспечивают целостность восприятия и приводят к дополнительным затратам.

Краткий обзор

Cisco Systems

Надежные решения, имеют отличную поддержку, но тяжелы в настройке, сигнатурный анализ дает много ложных срабатываний, интерфейс управления при большом количестве событий не позволяет адекватно разбирать зафиксированные события. Для полноценного функционирования необходимы дополнительные капиталовложения в Cisco Security Monitoring, Analysis and Response System (CS-MARS).

TippingPoint

Системы этого производителя удобны в настройке и установке. Имеют неплохой интерфейс управления, но могут подключаться только в разрыв, то есть без пассивного обнаружения. Не позволяют расширить функционал и представляют собой просто IDS/IPS-систему.

На одной из конференций представитель TippingPoint в своем выступлении сказал, что их оборудование можно установить и забыть о нем - и такова их стратегия защиты.

Возможно, кто-то ее и разделяет, но мне с ней сложно согласиться. Любое средство безопасности должно быть контролируемо, иначе должной отдачи вы от него никогда не получите. Например, если кто-то упорно пытается взломать ваш партнерский портал и ему не удалось этого сделать в первые два раза благодаря IPS-системе, то в третий раз ему это удастся, а без контроля за IPS-системой вы этого не узнаете и предотвратить последующие попытки у вас не получится.

Juniper Networks

Что бы ни писали аналитики Gartner или других изданий, сказать что-то хорошее об их продуктах сложно. Система ужасно сложна в настройке. Консоль управления NSM очень сильно ограничена. Отображение результатов производится таким образом, что складывается впечатление, что разработчики постарались сделать так, чтобы на нее смотрели как можно реже и надеялись на то, что атаки действительно отражаются.

Sourcefire

Пожалуй, лучшая система. Удобно все. Функционал невероятно широк. К тому же система уже имеет встроенные возможности детального сбора данных, об атакующих и атакуемых узлах, а не только IP- и MAC-адреса, что сильно снижает время анализа и разбора событий. К такой информации относится и история соединений, открытые и затем
закрытые порты, типы передаваемого адреса, имена пользователей, если, например, шла передача по FTP или e-mail, и, конечно же, сам e-mail-адрес. В больших сетях может стать незаменимым средством защиты. Выпускают свои решения с 2001 г., но на российский рынок вышли недавно.

Заключение

Не стоит внедрять целый ряд новых продуктов, решающих только одну проблему. Статические средства безопасности не могут защитить динамическую среду. Необходимо беречь время ваших сотрудников и их усилия. Позвольте им работать более качественно, а не более напряженно. Сокращайте затраты на поддержку гетерогенной среды. Снижайте время, затрачиваемое на анализ данных с множества консолей и отчетов. Тратьте деньги с умом, пока системы безопасности не стали обходиться вам дороже рисков, от которых вы защищаетесь.



Возможно вас заинтересует