С каждым днем число атак на сетевую инфраструктуру различных организаций и предприятий независимо от отрасли — неуклонно растет. При этом увеличивается сложность атак, и вчерашние привычные средства защиты уже не работают в полной мере.
Для обнаружения и предотвращения сетевых вторжений извне, число модификаций которых насчитывает сотни видов, применяются отдельные классы систем — IDS и IPS (Intrusion Detection/Prevention System — обнаружения и/или предотвращения вторжений).
Это по сути два отдельных класса систем с разными функциональными возможностями, которые нередко объединяют при разработке программно-аппаратных комплексов по сетевой безопасности:
- системы по обнаружению вторжений (СОВ или в зарубежной терминологии IDS);
- системы по предотвращению вторжений (СПВ или IPS).
Функциональность систем IDS включает выявление сетевых атак и обнаружение вторжений в корпоративную сеть организации, а также распознавание источника атаки — внешнее это вторжение или инсайд. Решения включают в себя систему сбора и анализа данных и их хранение, а также панель администрирования.
В отличие от IDS, IPS-решения чаще всего не могут постоянно отслеживать ситуацию и перманентно предотвращать атаки. Система позволяет предотвращать наиболее популярные сетевые атаки, например, против уязвимых компонентов информационных систем и сервисов, атаки, нацеленные на повышение прав и привилегий или получение неавторизованного доступа к конфиденциальной информации, а также предотвращает внедрение вредоносных программ, таких как трояны, вирусы во внутренней сети организаций.
Хотя это и два отдельных класса систем, но применять их необходимо в комплексе. Для крупных территориально распределенных компаний рекомендованы решения для комплексной сетевой безопасности, в том числе включающие функции IDS и IPS, а также возможности записи всего трафика, профилирования, предотвращения и расследования инцидентов. Такое объединенное решение нивелирует недостаток классических IPS-систем, позволяя реагировать на инциденты в режиме реального времени, а не только по преднастроенному шаблону. Подробнее о возможностях таких систем читайте тут.
Защита от сетевых атак — как обнаружение, так и предотвращение — возможность для бизнеса минимизировать финансовые и репутационные риски. Разработчик систем информационной безопасности «Гарда Технологии» выпустил решение «Гарда Монитор», сертифицированное ФСТЭК, как аппаратно-программный комплекс по расследованию сетевых инцидентов на уровне пакетов трафика, позволяющий находить уязвимости в сетевой инфраструктуре компании.
Comments: