Що таке IPS/IDS і де застосовується

Що таке система виявлення вторгнень (IDS)

IDS або система виявлення вторгнень зазвичай пов'язана з програмним забезпеченням або пристроєм, який відповідає за моніторинг онлайн-загроз, незалежно від того, чи знаходиться він в системі або мережі. Інформація про дивну активність зазвичай повідомляється адміністратору або збирається через систему SIEM.

Що стосується методів функціонування IDS, то тут можливі 3 варіанти, а саме:

• Виявлення аномалій. IDS може функціонувати для моніторингу комп'ютера, а також мережевої активності і після цього розділяти активність на нормальну або аномальну. Цей тип систем спочатку був розроблений для виявлення дивної активності. Підхід в основному заснований на використанні машинного навчання, за допомогою якого запам'ятовуються правильні моделі активності і порівнюються з новими/дивними. Цей підхід набагато кращий завдяки своїм узагальненим властивостям, але у вас можуть виникнути деякі проблеми з помилковими спрацьовуваннями.
• Виявлення IDS на основі підпису. Цей підхід вважається більш традиційним і базується на пошуку певних шаблонів. У цьому методі шаблони означають те ж саме, що і підписи. Таке виявлення IDS допоможе в боротьбі з відомими кібератаками, але матиме певні проблеми з новими шаблонами.
• Виявлення на основі репутації. Тут оцінка репутації впливає на весь процес.

Тепер, коли ви розумієте, як функціонує IDS, давайте обговоримо основні типи цієї системи. Основна класифікація включає 2 типи:

• NIDS. Цей тип IDS контролює вхідний трафік. Ця система аналізує активність трафіку, який надходить на/з пристрою. Вся активність порівнюється з наявною бібліотекою можливих атак, і як тільки виявляється щось дивне, адміністратор отримує сповіщення про це.
• HIDS. Така система необхідна для належного моніторингу ОС на пристроях або окремих хостах. Усі пакети відстежуються з метою виявлення незвичайної активності. Сповіщення відбувається в разі зміни критичних файлів у системі.
  

Що таке система запобігання вторгненням (IPS)

IPS або система запобігання вторгненням функціонує шляхом виявлення загрозливої активності, повідомлення про таку активність і спроб запобігти таким загрозам. Як правило, IPS знаходиться відразу за брандмауером. Цей тип систем надзвичайно корисний для виявлення проблем, пов'язаних зі стратегіями безпеки, виявлення кіберзлочинців та ідентифікації загроз документам.

Запобігання загрозливій активності відбувається в IPS шляхом модифікації змісту атаки, реконфігурації брандмауерів або іншими методами. Деякі користувачі сприймають IPS як розширення IDS, головним чином тому, що вони відповідають за моніторинг мережі.

Ось кілька методів, які пояснюють, як функціонує IPS:

• Моніторинг аналізу протоколів з урахуванням стану. Цей метод IPS функціонує шляхом порівняння всієї активності з узагальненими правилами, і таким чином виявляються відхилення.
• Моніторинг на основі підпису. Процес в методі IPS виявляє пакети в мережі, після чого стандартні шаблони (сигнатури) порівнюються з пакетами.
• Моніторинг на основі статистичних даних. Підхід функціонує шляхом перевірки мережевої активності, а порівняння проводиться на основі заздалегідь визначеної базової лінії. Ця лінія визначає основні характеристики, які вважаються нормальними, такі як використання певних протоколів або використовувана пропускна здатність. Якщо є певні проблеми з базовою конфігурацією, результат може бути хибнопозитивним.   

Після виявлення підозрілої активності IPS може реагувати відповідно до наступних сценаріїв:

• IPS може заблокувати користувача, який порушує певні шаблони, отримуючи доступ до мережі, хосту або програми
• Ще один сценарій може бути пов'язаний із завершенням TCP-сесії
• Видалення загрозливого контенту або видалення заражених даних після кібератаки
• Реконфігурація брандмауера для виключення можливості подібних атак в найближчому майбутньому

Класифікація типів IPS:

• WIPS. Цей тип IPS виявляє несанкціонований доступ і усуває його, як тільки помітив. Зазвичай така система функціонує як надбудова над інфраструктурою бездротової локальної мережі, але може використовуватися і самостійно. Завдяки використанню WIPS можна запобігти таким ризикам, як honeypot, несанкціоновані точки доступу, атаки на відмову в обслуговуванні, підміна MAC-адрес та багато інших.
• HIPS. Ця система зазвичай працює шляхом аналізу поведінки коду на хості, і таким чином виявляється дивна активність. HIPS надзвичайно корисний для захисту конфіденційної інформації від вилучення.
• NIPS. Виявлення відбувається шляхом аналізу пакетів через мережу. Одразу після встановлення збираються дані про хост і мережу. Запобігання атакам здійснюється шляхом відхилення пакетів, обмеження пропускної здатності та TCP-з'єднань.
• NBA. Цей аналіз проводиться на основі нормальної/дивної поведінки в мережі. Для того, щоб розглянути, що є нормою, а що ні, системі потрібен певний час.    
• HIDS. Така система необхідна для належного моніторингу ОС на пристроях або окремих хостах. Всі пакети відстежуються, щоб виявити незвичну активність. Сповіщення відбувається, коли в системі змінюються критичні файли.

Інтеграція: Чи можуть IDS та IPS співпрацювати?​

IDS та IPS функціонують для досягнення спільної мети - захисту інфраструктури мережі. У більшості випадків ці системи виявляють дивну активність, порівнюючи її зі стандартними (нормальними) характеристиками поведінки.  

Окрім незалежної роботи, IPS та IDS можуть бути інтегровані між собою. Більше того, брандмауери також можуть співпрацювати з IPS/IDS для кращого захисту системи. Така співпраця називається UTM або NGFW.

IDS та IPS з брандмауерами

У традиційному підході брандмауера система працює таким чином, що вона забороняє/дозволяє деякі з'єднання в мережі на основі заданих правил. У випадку, якщо потрібні правила використовуються, то інструкції будуть заблоковані. Загалом, стандартні брандмауери обмежують доступ, але не можуть повністю зупинити зловмисника в мережі.

Функція IPS та IDS полягає у виявленні загроз у мережі та повідомленні про таку активність. Для того, щоб отримати максимальний результат від усіх цих технологій, їх об'єднують і створюють нові міжмережеві екрани. Технологія наступного покоління об'єднала брандмауер з IPS/IDS.  

Основні збіги між IDS та IPS

Обидві системи є хорошими варіантами для боротьби із загрозами, пов'язаними з мережевою інфраструктурою. Процес працює в основному шляхом аналізу активності трафіку і порівняння його з базою даних звичайної і аномальної активності. IDS функціонує, аналізуючи активність трафіку, в той час як IPS може навіть впливати на цей процес і певним чином контролювати його.

Існує кілька перетинів між обома системами, і ми обговоримо їх тут.  

1. Призначені для сучасних підприємств

Сучасні підприємства більше орієнтовані на віддалену роботу, ніж будь-коли раніше. Існує дуже багато компаній, які перейшли на цей режим під час пандемії і продовжують слідувати цьому шляху, що вимагає більших обсягів трафіку і більшої кількості точок доступу в цілому. Ручний аналіз і моніторинг загроз стали майже непотрібними завдяки хмарним середовищам. Крім того, кібербезпека також вдосконалює механізми боротьби з різноманітними ризиками, і ці підходи також повинні бути впроваджені.

Тому і IPS, і IDS невіддільні від мінливого світу кібербезпеки та ідеально підходять для підприємств. Автоматизація більшості процесів робить виявлення загроз набагато простішим та ефективнішим, ніж раніше. Просто не забувайте оновлювати систему щоразу, коли це потрібно, і ви будете ще більше захищені від нових ризиків.   

2. Функціональність на основі баз даних сигнатур або поведінкових моделей

Найбільш стандартні підходи, які використовуються в IDS та IPS, пов'язані з поведінковими моделями та тими, які в основному орієнтовані на бази даних сигнатур. Існує певний відсоток користувачів, які навіть вважають за краще комбінувати ці підходи до кібербезпеки для досягнення своїх цілей. Принцип роботи рішення досить простий: після виявлення небезпеки відбувається негайне оповіщення про можливу загрозу і навіть автоматичне ініціювання активності.

Системи виявлення/запобігання вторгнень, які покладаються на базу даних сигнатур, ідеально підходять для ідентифікації стандартних кібератак. Тут мережева інформація порівнюється зі списком можливих індикаторів і таким чином визначається незвичайна активність.

Якщо виявлено збіг сигнатур, обрана система протидії вторгненням реагує і вирішує наявні проблеми. Швидкість виявлення надзвичайно висока, і це величезна перевага, яку може помітити кожен користувач. Невелика проблема тут може полягати в базах даних, якщо загроза не внесена в них, вона не буде виявлена.  

З іншого боку, підхід до вторгнень на основі моделей використовує машинне навчання для виявлення можливих загроз. Активність трафіку завжди порівнюється з базовою лінією, і таким чином можна помітити дивну активність. Він не працює з конкретними зачіпками, а більше орієнтується на незвичну поведінку.

3. Використання можливостей автоматизації

IPS та IDS є чудовими рішеннями з багатьох причин, але головною з них вважається автоматизація процесів. Завдяки автоматизації ви можете отримати більш високі результати у виявленні ризиків і в той же час використовувати менше ресурсів.

Системи протидії вторгненням можуть використовувати програмні або апаратні підходи. Спочатку більшість компаній використовували датчики на критичних точках мережі для аналізу поточної ситуації. Пізніше на зміну апаратному підходу прийшов програмний, де за допомогою спеціальних інструментів можна здійснювати моніторинг даних. Після виявлення будь-яких можливих ризиків буде негайно здійснено оповіщення. IPS може навіть йти далі, ніж сигналізація, можуть бути виконані певні автоматичні дії.  

4. Спрощення процесів комплаєнсу

Існує багато галузей, де процеси комплаєнсу мають вирішальне значення, зокрема, ми говоримо про фінансовий сектор та охорону здоров'я. IPS та IDS можуть стати чудовим рішенням для корпорацій, які шукають спрощення процесів комплаєнсу.

Зі збільшенням обсягу доступних цифрових даних, аналіз і постійний моніторинг системи потребують більше ресурсів, і це очевидно. У такому випадку IPS/IDS можуть бути надзвичайно корисними для запобігання несанкціонованій діяльності з використанням переважно автоматизованих процесів.

Більш глибокий моніторинг та аналіз інфраструктури має вирішальне значення, коли мова йде про дотримання суворих правил. За допомогою цих систем виявлення набагато легше контролювати весь трафік, навіть той, який невидимий для більшості інших рішень для виявлення вторгнень. Наприклад, ці системи можуть швидко помітити незвичну активність у з'єднанні з локальною мережею, що має вирішальне значення для кібербезпеки.    

5. Ефективне впровадження бізнес-політик

Дотримання бізнес-політик - не найпростіше завдання для багатьох корпорацій. Однак IPS та IDS можуть суттєво вплинути на цей процес і допомогти в ефективному впровадженні високих стандартів безпеки, а також вплинути на ділову етику.Щоб зрозуміти, як функціонують всі ці процеси, візьмемо для прикладу VPN. Якщо політика організації орієнтована на певний VPN, то трафік з інших сервісів може бути легко заблокований за допомогою цієї системи виявлення вторгнень.