Сетевые системы обнаружения атак — принцип действия

Сетевые системы обнаружения атак — принцип действия

Системы для обнаружения и предотвращения вторжений (IPS/IDS intrusion detection and prevention systems) — программно-аппаратные решения, детектирующие и предотвращающие попытки нелегального доступа в корпоративную инфраструктуру. 


Это по сути два отдельных класса систем с разными функциональными возможностями, которые нередко объединяют при разработке программно-аппаратных комплексов по сетевой безопасности:

  • системы по обнаружению вторжений (СОВ или в зарубежной терминологии IDS);

  • системы по предотвращению вторжений (СПВ или IPS). 


К основным функциям систем IDS относятся:

  • выявление вторжений и сетевых атак;

  • запись всех событий;

  • поиск уязвимостей;

  • прогнозирование атак;

  • распознавание источника атаки: инсайд или взлом;

  • информирование служб ИБ об инциденте в реальном времени;

  • формирование отчетов.


Система обнаружения вторжений собирает и анализирует полученные данные, хранит события с момента подключения к сетевой инфраструктуре и формирует отчеты и управляется из консоли администратора. 


Функциональные особенности решений IPS не позволяют детектировать как внешние, так и внутренние атаки в режиме реального времени. Именно поэтому такие решения отлично дополняют программы IDS и работают единовременно. 

Система IPS, как правило, предотвращает наиболее популярные сетевые атаки, заданные предустановленными политиками безопасности или проанализированные как отклонение от нормального поведения пользователей и систем. К примеру, предотвращает атаки, нацеленные на повышение прав и получение неавторизованного доступа к конфиденциальной информации, атаки на уязвимые компоненты информационных систем, и блокирует внедрение вредоносных программ, таких как трояны или вирусы в сети компаний. 

Технологий IPS работают по следующим методам: 

  1. Сигнатурный анализ

Сигнатура — это шаблон, по которому определяется атака через сравнение с возможным инцидентом. Например:

  • Email с вложением формата freepics.exe в корпоративной почте;

  • Лог операционной системы с кодом 645, который обозначает отключение аудита хоста.

Рабочая методика при обнаружении известных угроз, но при неизвестных атаках, где нет шаблона — бесполезен.

  1. Поведенческий анализ

Основа технологии в сравнении нормальной активности людей и программ с активностью, отклоняющийся от нормального уровня. В IPS, наделенных модулем UBA (User behaviour analytics) есть «профили», отражающие нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили формируются с помощью машинного обучения в течение некоторого времени. Например, норма филиала — повышение веб-трафика на 17% в рабочие дни. При значительном превышении этого порога офицеру безопасности приходит соответствующее сообщение. Такой метод позволяет блокировать вторжения, которые были ранее неизвестны, по первым признакам аномалий.


К ключевым функциям IPS относятся:

  • блокировка атак — прекращение доступа к хостам, обрыв сессии сотрудника, нелегитимно обращающегося к данным;

  • изменение конфигурации устройств в сети компании для предотвращения атаки;

  • замена содержания атаки — удаление или фильтрация инфицированных файлов перед отправкой пользователям на уровне сетевых пакетов.


Риск применения IPS в том, что бывают как ложноположительные срабатывания, так и ложноотрицательные. Анализ систем обнаружения вторжений показал, что для оптимальной и своевременной защиты от вторжений важно применять решения, объединяющие в себе функции IDS и все методы подавления атак IPS.


Когда применяются системы обнаружения сетевых атак?


Как показывает практика — сетевые системы обнаружения вторжений должны работать непрерывно. Те компании, которые пренебрегают решениями для детектирования и подавления атак, несут максимальные убытки. Вспомним нашумевшие вирусы-шифровальщики Petya и Wanna Cry — они вскрыли все «болевые» точки и буквально парализовали деятельность организаций. Так как уровень атак с каждым годом только возрастает — решения по их обнаружению должны быть на шаг впереди, чтобы иметь возможность не только расследовать инциденты, но и предотвратить их уже по первым признакам в режиме реального времени.


Основные виды систем обнаружения вторжений


Выбирая систему IPS/IDS для организации важно учитывать их виды, отличающиеся расположением, механизмами работы аналитических модулей. Они могут быть:

  •  Сетевыми (NIDS) — для проверки сетевого трафика с коммутатора. В основе лежит протокол СОВ (PIDS) — мониторит трафик по HTTP и HTTPS-протоколами. 

  • Основанные на прикладных протоколах СОВ (APIDS) — для проверки специализированных прикладных протоколов. 

  • Узловые или Host-Based (HIDS) — анализируют журналы приложений, состояние хостов, системные вызовы. 

  • Гибридные — объединяют функции нескольких видов систем обнаружения вторжений. К этому виду можно отнести систему «Гарда Монитор» .


Требования к IDS/IPS системам

В России требования к системам обнаружения вторжений появились в 2011 году. ФСТЭК России выделила шесть классов защиты СОВ. Отличия между ними в уровне информационных систем и самой информации, подлежащей обработке (персональные данные, конфиденциальная информация, гостайна). Соответствие требованиям регулятора — важный фактор при выборе решений для защиты от вторжений. Поэтому для гарантированного результата в виде отсутствия санкций относительно выбора ПО — стоит обратить внимание на системы обнаружения вторжений, сертифицированные ФСТЭК.

Решение для комплексной сетевой защиты, обнаружения и подавления сетевых атак


Разработчик систем информационной безопасности «Гарда Технологии» выпустил решение «Гарда Монитор», сертифицированное ФСТЭК, как аппаратно-программный комплекс по расследованию сетевых инцидентов на уровне пакетов трафика, позволяющий находить уязвимости в сетевой инфраструктуре компании. Его принцип строился на записи и декодировании всех событий, происходящих в сети организации. Но главная задача безопасности — это не только найти виновных в инциденте, а его предотвратить. Поэтому следующие версии системы получили технологические обновления в виде функций анализа сетевого трафика и разбора содержания пакетов трафика, внедрения модуля поведенческой аналитики для оповещения службы информационной безопасности и обнаружение попыток вторжений в сетевую инфраструктуру в реальном времени.


В качестве системы классов IDS и IPS «Гарда Монитор» осуществляет обнаружение сетевых атак и попытки эксплуатации уязвимостей и работы вредоносного ПО (вирусов, троянов и пр.) на основе сигнатурного  и поведенческого анализа. Детектирует факты обращений к командным центрам бот-сетей.


Одно решение, которое отлично масштабируется на территориально-распределенные сети, позволяет защитить сетевую инфраструктуру комплексно, видеть все, что происходит в сети в реальном времени, выявляя все виды вторжений и мгновенно предотвращая атаки. Все это возможно благодаря непрерывному анализу событий и обнаружений отклонений от нормального поведения пользователей и систем в сети.

Узнать как работает «Гарда Монитор» на практике — можно с помощью внедрения пилотного проекта — бесплатно в течение месяца. После чего можно купить систему обнаружения и предотвращения вторжений и адаптировать под все особенности сетевой инфраструктуры.