Концепция уровневой безопасности имеет ключевое значение для защиты сети любого размера, и для большинства компаний это означает, что необходимо развертывать как системы обнаружения вторжений (IDS) так и системы предотвращения вторжений (IPS). Когда речь заходит о IPS и IDS, вопрос состоит не в том, какие технологии нужно добавить к вашей инфраструктуре безопасности, а в том, что обе необходимы для обеспечения максимальной защиты от вредоносного трафика. В самом деле, разработчики таких систем все чаще объединяют эти две технологии в одном устройстве.

Преимущества IDS

В основном, IDS устройства пассивны, они наблюдают за пакетами данных, передающихся по сети, мониторят определенные порты, сравнивают трафик с определенным набором правил и посылают оповещения, если обнаруживают что-либо подозрительное. IDS может обнаружить несколько видов вредоносного трафика, который может пропустить обычный брандмауэр, включая сетевые атаки на определенные службы, может выдать данные по атакам на приложения, обнаружить попытки неавторизованного доступа и действия вредоносных программ, вирусов, троянов и червей. Большинство продуктов IDS используют несколько методов обнаружения угроз, обычно основанных на определенных сигнатурах и детальном анализе протоколов.

IDS фиксирует события, которые зарегистрированы датчиками в базе данных, генерирует оповещения и посылает их администратору сети. Поскольку IDS дает широкое представление об активности в сети, оно также может быть использовано при выявлении проблем, связанных с политикой безопасности, документировании существующих угроз, а также мешают пользователям нарушать политики безопасности.

Основной недостаток IDS - большое количество ложных срабатываний, некоторый допустимый трафик помечается как вредоносный. Необходима настройка устройства для обеспечения максимальной точности правильных срабатываний при обнаружении угроз с одновременным сведением к минимуму количества ложных срабатываний. Такие устройства должны регулярно подстраиваться к новым угрозам обнаруженным в сети. Также необходима подстройка при изменении структуры сети. Поскольку технологии совершенствовались в последние несколько лет, количество ложных срабатываний уменьшается. Тем не менее, полной их ликвидации при сохранении строгого контроля, добиться невозможно - даже на IPS, которые некоторые считают следующим шагом в эволюции IDS.

IPS Преимущества

В основном IPS имеют все черты хороших IDS, но они также могут остановить опасный трафик при вторжении в сеть. В отличие от IDS, IPS сидят в середине транспортных потоков сети, активно пресекая попытки нападения. Они могут остановить атаки путем отключения сетевого соединения или блокирования сессии пользователя, от которого происходят нападения, блокируя доступ к учетным записям пользователя, IP-адресам или блокирует доступ к хосту, сервису или приложению.

Кроме того, IPS может реагировать на угрозы, обнаруженные в двух других направлениях. Они могут перенастроить другие системы контроля безопасности, такие как брандмауэр или маршрутизатор, чтобы блокировать атаку. Некоторые IPS устройства могут даже применить патчи, если хост имеет особую уязвимость. Кроме того, некоторые IPS могут удалять вредоносное содержимое пакетов, возможно даже удаление зараженного вложения из файла электронной почты до пересылки ее пользователю.

Двойная защита

Поскольку IDS и IPS устройства находятся в разных точках сети, они могут - и должны - быть использованы одновременно. IPS продукты установлены «по периметру» сети и позволяют блокировать атаки немедленно, как, например, атаки червей и вирусов, даже самые новые угрозы могут быть заблокированы. IDS продукты, установленные внутри брандмауэра будет контролировать внутреннюю активность, чтобы противостоять инсайдерским угрозам и придадут большую наглядность в безопасности событий в прошлом и настоящем.

Выбор продукта, который предлагает обе технологии может быть наиболее экономичным и эффективным подходом. В одном устройстве вы можете включить IDS со стороны сети и включить IPS из разных источников. Это практически виртуальные устройства.