Что такое IPS — вводное руководство по системам предотвращения вторжений
Не у всех фирм есть время и штат сотрудников для отражения кибератак. Например, у вас может не быть сотрудников по кибербезопасности, которые могут анализировать журналы, выявлять угрозы и реагировать на инциденты. Если у вас есть такие ограничения, вы можете получить решение безопасности для выполнения некоторых из этих задач за вас. Одним из решений, которое используют многие предприятия, является система предотвращения вторжений (IPS).
В этой статье я объясню, что такое IPS, из чего она состоит, как работает, какие преимущества дает и многое другое. Начнем с ответа на вопрос: что такое IPS?
Что такое ИПС?
Система предотвращения вторжений, или IPS, представляет собой решение для обеспечения безопасности, предлагаемое в виде физического устройства или программного приложения. Некоторые системы предотвращения вторжений являются частью других инструментов безопасности, таких как брандмауэры нового поколения (NGFW). Однако вы также можете получить их отдельно. Основная цель IPS — обнаруживать попытки вторжения, регистрировать данные о событиях, отправлять оповещения и блокировать потенциальные угрозы.
Приобретая решение IPS, вы обнаружите, что оно состоит из нескольких компонентов. Давайте рассмотрим эти компоненты один за другим.
Типичные компоненты IPS
Как правило, решения IPS включают несколько компонентов, включая серверы управления и базы данных, а также консоль. Каждый компонент выполняет разные функции, которые мы обсудим ниже.
Сенсор IPS или агенты
Сенсор или агент IPS — это часть вашей IPS, которую вы развертываете в сети или на хосте. Эти датчики могут отслеживать активность сети или хоста и предотвращать вторжения. Датчики обычно связаны с инструментами, которые контролируют проводные или беспроводные сети. Агенты, с другой стороны, связаны с инструментами, которые контролируют конечные точки или хосты. Вам также может понадобиться развернуть один или несколько датчиков или агентов. Мы поговорим о развертывании позже в этой статье.
Сервер управления
Сервер управления IPS отвечает за сбор данных с датчиков и агентов. Сервер управления также может сопоставлять и анализировать эти данные. Этот анализ позволяет IPS определить с большей уверенностью, требует ли конкретное событие превентивных действий.
Без надлежащей корреляции IPS может случайно помешать совершенно правильному процессу. Это создаст ненужные простои. Вы обнаружите, что некоторые решения IPS имеют один или несколько серверов управления, а другие вообще не имеют их.
Сервер базы данных
На сервере базы данных IPS вы будете хранить данные о событиях, записанные датчиками и агентами IPS. В зависимости от того, как ваша СПП хранит данные, вы можете использовать встроенную или внешнюю базу данных, такую как MySQL, Oracle или MS SQL.
Вы также можете использовать зарегистрированные данные для дальнейшего анализа. Например, ваши аналитики угроз могут провести криминалистическое расследование с использованием этих журналов после утечки данных.
IPS-консоль
В консоли IPS вы будете выполнять задачи администрирования или управления. В зависимости от поддерживаемых возможностей консоли вы можете использовать ее для настройки датчиков/агентов, а также для мониторинга и анализа.
Консоль IPS может помочь вам в предотвращении вторжений. Например, вы можете использовать его для точной настройки параметров предотвращения. Вы также можете применять обновления программного обеспечения с помощью консоли IPS. Однако эта задача предназначена только для целей обслуживания.
Итак, как ваша IPS может обнаруживать вторжения? Давайте поговорим об этом.
Методы обнаружения IPS
Обнаружение IPS обычно основано на одном или нескольких методах обнаружения вторжений. Эти методы включают обнаружение вторжений на основе шаблонов, аномалий и политик. Дополнительную информацию об этих методах можно найти в разделе «Что такое IDS?» статья.
Далее я хочу показать вам, как на самом деле работает IPS.
Как работает IPS?
IPS отслеживает сетевой трафик, а затем использует методы обнаружения вторжений для обнаружения потенциальных угроз. Тем не менее, IPS не останавливается на обнаружении. Он также автоматически блокирует предполагаемые угрозы при их обнаружении. Как мы обсуждали ранее, датчики IPS будут отвечать за блокировку.
Вы должны развернуть датчики IPS в линию (рисунок ниже). В противном случае он не может блокировать любые угрозы. Вот обзор задействованных процессов.
- Входящие пакеты из внешней сети поступают на датчик IPS.
- Датчик IPS проверяет пакеты, применяя методы обнаружения IPS. В качестве альтернативы IPS отправляет данные о событиях на сервер управления, который выполняет проверку.
- Если после проверки IPS обнаруживает угрозу, она автоматически отбрасывает рассматриваемые пакеты. Он пропускает только те пакеты, которые считает безопасными.
Взгляните на диаграмму ниже. Как видите, сенсор IPS обращен во внешнюю сеть. Вы должны развернуть датчик IPS таким образом, потому что он должен находиться на пути входящего трафика для обнаружения и блокировки угроз.
Сенсор IPS блокирует вредоносные пакеты до того, как они достигнут внутренней сети за ним. После настройки IPS вторжение невозможно. Да, угроза может вторгнуться в зону, где находится сенсор IPS, но не в зону за ним.
В некотором смысле функция автоматической блокировки IPS дает ей значительное преимущество перед IDS. Приведенная выше диаграмма применима только к сетевой IPS (NIPS), которая, возможно, является наиболее распространенным типом IPS. О других типах мы поговорим подробнее позже. А пока давайте обсудим преимущества использования IPS.
3 преимущества системы предотвращения вторжений
IPS предлагает вам многие из тех же преимуществ, что и система обнаружения вторжений или IDS. Например, IPS позволяет обнаруживать DDoS-атаки и обеспечивать соответствие нормативным требованиям. Тем не менее, поскольку IPS автоматически предотвращает вторжение, у нее есть несколько дополнительных преимуществ. Давайте поговорим о 3 из этих преимуществ:
1. Автоматически блокирует угрозы
Некоторые решения безопасности, в первую очередь IDS, обнаруживают и предупреждают вас только о потенциальной угрозе. Они не могут предотвратить проникновение этой угрозы в ваши системы. Однако обнаружения и оповещения недостаточно. IPS делает вас менее восприимчивыми к проблемам, поскольку автоматически блокирует предполагаемые угрозы.
2. Снижает требования к персоналу службы безопасности
IDS не может быть эффективной, если у вас нет сотрудников службы безопасности, которые могут анализировать журналы IDS, выявлять потенциальные угрозы и реагировать на инциденты. И наоборот, IPS может действовать самостоятельно. Это означает, что он может автоматически обнаруживать и блокировать потенциальные угрозы. В результате его потребности в персонале не такие крутые.
3. Освобождает вашу команду безопасности
Предполагая, что у вас есть специальная группа безопасности, IPS может освободить членов вашей команды от задач анализа угроз и реагирования на инциденты. Это потому, что он может выполнять многие из тех же задач самостоятельно. Ваша группа безопасности может просто проверить активность IPS и больше сосредоточиться на других усилиях по снижению рисков.
Когда я говорил о том, как работает IPS, я сосредоточился только на одном типе IPS — сетевой IPS. Однако IPS бывают других типов; они различаются по развертыванию и осмотру. Давайте поговорим об этом больше.
Какие существуют типы систем предотвращения вторжений (IPS)?
IPS в основном бывает 4 типов:
- Сетевая система предотвращения вторжений (NIPS)
- Система предотвращения вторжений в беспроводную сеть (WIPS)
- Хост-система предотвращения вторжений (HIPS)
- Анализ поведения сети (NBA) с функциями IPS
Важно отличать одно от другого, потому что у них есть определенные нюансы в том, как они развертываются и что проверяют. Вот краткое сравнение между 4 типами.
4 типа систем предотвращения вторжений
Тип IPS | Развертывание | Что он проверяет | Вариант использования |
НИПС | Развернуто в процессе, по пути сетевого трафика | Проводной сетевой трафик | Обнаружение и предотвращение подозрительной активности в вашей проводной сети Получите этот IPS первым для своей проводной сети |
WIPS | Размещены в стратегически важных местах на вашем объекте в качестве стационарных устройств Устанавливается на мобильные устройства (например, ноутбуки, телефоны или специализированные мобильные устройства) Встроенный в беспроводной Точка доступа (AP) Встроенный в беспроводной коммутатор | Беспроводной сетевой трафик | Обнаружение и предотвращение подозрительной активности в вашей беспроводной сети Получите WIPS для сред с использованием собственных устройств (BYOD) или для любой беспроводной сети. |
БЕДРА | Устанавливается на конечные устройства или хосты, такие как ПК или серверы. | Созданные приложением файлы журналов, изменения в реестре и системных процессах | Обнаружение подозрительной активности на конечных устройствах. Установите эту IPS поверх вашей NIPS, чтобы контролировать свои конечные точки и обеспечивать дополнительную защиту критически важных для бизнеса хостов. |
НБА/IPS | Развернутый встроенный | Иногда сетевые пакеты, но обычно информация о сетевых потоках, генерируемая маршрутизаторами и другими сетевыми устройствами. | Снижение риска атак с большими объемами трафика, таких как DDoS-атаки. |
Прежде чем мы закончим этот блог, я хотел бы поделиться некоторыми инструментами IPS. Я рекомендую вам ознакомиться с ними, если вы ищете решение IPS для своего бизнеса.
Топ-3 IPS и ПО для обеспечения безопасности
Чтобы сэкономить ваше время, я выбрал 3 инструмента, ориентированных на разные сегменты рынка. Первый предназначен для малого и среднего бизнеса, второй — для поставщиков управляемых услуг, а третий — для крупных предприятий. Вероятно, вам следует проверить тот, который соответствует вашему сегменту рынка.
1. КериоКонтроль
KerioControl — это брандмауэр нового поколения (NGFW), VPN и решение для унифицированного управления угрозами (UTM). Он также обладает мощными функциями обнаружения и предотвращения вторжений. Я настоятельно рекомендую этот инструмент для малого и среднего бизнеса (SMB) из-за его несложного развертывания, установки и управления.
2. Платформа сетевой безопасности McAfee
McAfee Network Security Platform — это многопользовательское решение IPS, предназначенное для поставщиков управляемых услуг (MSP). Каждое устройство McAfee Network Security Platform может поддерживать скорость до 40 Гбит/с. Эта платформа позволяет предоставлять одни и те же услуги из одного решения нескольким арендаторам. Платформа сетевой безопасности также является хорошим вариантом для MSP, которые хотят предложить малым и средним предприятиям локальные услуги IPS.
3. Контрольная точка IPS
Check Point IPS — это система предотвращения вторжений, популярная в сегменте крупных предприятий. Он обеспечивает возможности предотвращения вторжений межсетевого экрана нового поколения с мультигигабитными скоростями. Как правило, эти функции дороги, поэтому в основном подходят для крупных предприятий, которые могут их себе позволить.
Последние мысли
Подводя итог, можно сказать, что система предотвращения вторжений может стать важной частью вашей стратегии кибербезопасности. В этой статье я показал вам, как IPS использует свои различные компоненты для обнаружения и устранения угроз. Я также объяснил преимущества, которые вы получите после развертывания IPS. Например, это сэкономит ваше время и уменьшит потребность в персонале.
Чтобы получить максимальную отдачу от вашей IPS, вы должны выбрать правильный тип для вашей компании. Вы также можете выбрать решение IPS для развертывания. Таким образом, вы защитите свои системы от всех внешних вторжений.
Если у вас есть дополнительные вопросы, не стесняйтесь читать разделы часто задаваемых вопросов и ресурсов ниже.
Часто задаваемые вопросы
В чем разница между IDS и IPS?
Система обнаружения вторжений (IDS) обнаруживает вторжения, регистрирует события, а затем отправляет предупреждения. С другой стороны, система предотвращения вторжений (IPS) может обнаружить попытку вторжения и предотвратить ее успех. Для получения дополнительной информации ознакомьтесь с этой статьей IDS vs IPS.
Что такое DDoS-атака?
Атака распределенного отказа в обслуживании (DDoS) — это атака, которая замедляет или даже отключает вашу сеть. Для этого злоумышленники перегружают ресурсы вашей сети. Это означает, что ваши пользователи больше не могут получить доступ к службам. Однако многие IPS-решения умеют идентифицировать DDoS-атаку и блокировать ее трафик.
Можно ли передать управление и мониторинг IPS на аутсорсинг?
Да, если в вашей фирме нет никого, кто бы выполнял эти задачи, вы можете передать управление и мониторинг IPS на аутсорсинг. Например, вы можете нанять аутсорсинговый центр управления безопасностью (SOC). Сотрудники SOC могут управлять вашим инструментом IPS, а также отслеживать и анализировать данные журналов и предупреждения для вас.
Будет ли IPS замедлять сетевой трафик?
Да, это так, как и большинство встроенных решений безопасности. IPS выполняет глубокую проверку пакетов, подобно брандмауэру следующего поколения (NGFW). В результате это вводит задержку. Это несколько замедлит сетевой трафик.
Где бы вы разместили IPS относительно брандмауэра?
Как правило, IPS следует размещать за брандмауэром другого типа (NGFW). Это означает, что входящий трафик должен сначала пройти через брандмауэр. В результате вы заблокируете самый нежелательный трафик на брандмауэре. В свою очередь, у вашей IPS будет меньше пакетов для проверки. Это также уменьшит негативное влияние вашей системы IPS на производительность сети.