Company of Informational Security

ул. Даниила Щербаковского 45А, г.Киев, 04111, Украина

Мы предлагаем технологии завтрашнего дня. Будь на шаг впереди!

Системы обнаружения и предотвращения вторжений

В современном мире системы обнаружения и предотвращения вторжений (Intrusion detection system / Intrusion prevention system, IDS/IPS) — необходимый элемент защиты от сетевых атак. Основная задача данных систем — выявление фактов неавторизованного доступа в корпоративную сеть или несанкционированного управления ею, с  выполнением соответствующих мер противодействия (информирование администраторов о факте вторжения, обрыв соединения или перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника и т.д.).

Для решения поставленной задачи IDS должна  выполнять следующие основные функции:
- мониторинг событий с целью выявления инцидентов информационной безопасности (ИБ);
- запись информации о данных инцидентах как локально, так и с отправкой в любую централизованную систему сбора логов или SIEM-систему;
- уведомление администраторов ИБ об инцидентах (email, SNMP-трапы, SMS, консоль управления системы IDS);
- создание отчетов, уточняющих или, наоборот, обобщающих информацию по одному или нескольким событиям. 

Как мы видим, IDS выполняет лишь первую часть задачи (обнаружение и информирование). Для решения второй части задачи (противодействие) можно использовать систему, которая специализируется по устранению конкретной угрозы, либо использовать IPS с несколько расширенным функционалом чем у IDS:
- блокирование атаки (обрыв сессии нарушителя, закрытие доступа к ресурсам, хостам, приложениям);
- изменение защищаемой среды (конфигурирование межсетевых экранов и коммуникационного оборудования);
- изменение содержимого атаки (удаление из письма инфицированного файла, анализ входящих запросов и удаление данных из заголовков пакетов).

ids-and-ips.jpg

По способу мониторинга IPS классифицируются на: Сетевые IPS (Network-based Intrusion Prevention, NIPS).
IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS).
Анализатор поведения сети (Network Behavior Analysis, NBA).
IPS для хостов (Host-based Intrusion Prevention, HIPS).

На сегодняшний день во многих системах используется функционал IPS (межсетевые экраны, антивирусы, SIEM и т.д.), но чаще всего эти функции либо усечены, либо для их выполнения выделяется очень мало ресурсов. А что будет делать такая система, если, к примеру, появиться сложная угроза, или DDoS-атака, или угроза нулевого дня, и все это при условии, что скорость потока данных около 40 Гбит/с?

Для решения таких сложных задач компания ИТ Лэнд предлагает системы предотвращения вторжений следующих производителей: McAfee (Intel Security), Radware, TrustPort.

McAfee® Host Intrusion Prevention для серверов – это программное решение, которое осуществляет защиту как от известных, так и неизвестных угроз нулевого дня, DDoS-атак, SSL-атак и скрытых угроз объединяя предотвращение вторжения на основе анализа поведения и сигнатур с межсетевым экраном и контролем приложений, что обеспечивает бесперебойную работу сервера и защищает корпоративные активы, такие как приложения и базы данных.

McAfee® Network Security Platform — это устройство, способное обнаруживать и блокировать изощренные угрозы в сети с помощью использования передовых методов обнаружения угроз и эмуляции поведения. Являясь аппаратной платформой, решение способно с одним устройством обеспечивать скорость передачи данных свыше 40 Гбит/с, что позволяет удовлетворять потребности высокопроизводительных сетей. Концепция Security Connected позволяет оптимизировать операции по обеспечению безопасности благодаря использованию информации об угрозах, собираемой в режиме реального времени при помощи технологии McAfee GTI, в сочетании с подробными контекстными данными о пользователях, устройствах и приложениях. Это дает возможность быстро и точно реагировать на сетевые атаки.

Radware DefensePro – это устройство, которое позволяет в реальном времени отражать DDoS-атаки, SSL-атаки, угрозы нулевого дня без нарушения работы легитимных пользователей, основываясь на поведенческом анализе сети и приложений, что позволяет исключить простои и деградацию сетевой инфраструктуры, предотвратить распространение вредоносных программ, кражу информации и защитить от атак на уязвимости приложений.

TrustPort Threat Intelligence – это устройство, оценивающее сетевое поведение пользователей, сервисов и целых подсетей, с помощью автоматического создания долгосрочных моделей поведения – связь станций и серверов, которые становятся основой для сложного процесса обнаружения аномалий. Благодаря современным методам анализа потока и использованию искусственного интеллекта решение способно распознавать в этих моделях реальные атаки или присутствие вредоносных программ.

Возврат к списку