Довольно часто удачное вторжение в корпоративную сеть компания обнаруживает постфактум, то есть когда атака на систему уже была произведена. Покушения на безопасность информационных систем сегодня происходят сплошь и рядом, и в особенности на ресурсы тех организаций, которые вовремя не позаботились об укреплении защиты. Чтобы не стать жертвой хакерской атаки, лучше всего строить свою работу в области безопасности по принципу «предупрежден – значит вооружен».

IDS/IPS – это система, которая предназначена для мониторинга и предотвращения вторжений. Она идентифицирует, классифицирует и предотвращает вторжение известных и неизвестных вирусов, атак и эксплоитов.

Виды системы обнаружения и предотвращения вторжения (IDS/IPS)

В сетевой IDS/IPS, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные IDS/IPS используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых IDS/IPS сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов IDS/IPS.

  • Сетевая IDS/IPS (Network-based IDS/IPS, NIDS/NIPS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство.
  • Основанное на протоколе IDS/IPS (Protocol-based IDS/IPS, PIDS/PIPS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная IDS/IPS обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS IDS/IPS должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.
  • Основанная на прикладных протоколах IDS/IPS (Application Protocol-based IDS/IPS, APIDS/APIPS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных IDS/IPS будет отслеживать содержимое SQL команд, передаваемых на сервер.
  • Узловая IDS/IPS (Host-based IDS/IPS, HIDS/HIPS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников.
  • Гибридная IDS/IPS совмещает два и более подходов к разработке IDS/IPS. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети.

Для каждого отдельного случая можно подобрать оптимальную систему IDS/IPS из предлагаемого нами спектра продуктов:

  • StoneGate IPS;
  • Cisco IPS.