Одним из первых элементов систем безопасности были антивирусы. С развитием сетевых технологий встала острая необходимость контроля сетевого трафика. Так появились межсетевые экраны. Казалось бы, этих элементов должно быть достаточно для построения надежной системы безопасности. Однако межсетевой экран может легко регламентировать доступ к различным информационным ресурсам на уровне протоколов взаимодействия, но не контролирует действия, которые выполняются в рамках этих протоколов. В итоге вредоносные действия могут без труда проводиться в рамках нормальной работы по разрешенному протоколу. В результате необходимости контроля действий в рамках разрешенного регламента работы появились системы обнаружения вторжений – IDS (Intrusion Detection System).
Сам по себе процесс обнаружения деструктивных действий, конечно, важен, но еще более важной задачей является противодействие им. Поэтому достаточно быстро IDS-системы трансформировались в IPS (Intrusion Prevention System), то есть в системы противодействия вторжениям.
Существует два типа IPS – NIPS (Network based Intrusion Prevention System - сетевые системы противодействия вторжениям) и HIPS (Host based Intrusion Prevention System, системы противодействия вторжениям на базе хост-компьютеров). Главное достоинство NIPS заключается в том, что эта система может контролировать всю сеть или любую подсеть из единой точки. Таким образом, NIPS может обнаружить аномальную активность в пределах всей сети. Но если в организации сильно разветвленная сеть с большим числом сетевых сегментов, а критичных серверов немного, в этом случае использование NIPS может оказаться слишком накладно.
HIPS способна понимать специфичные для серверов процессы и защищать от неавторизованного доступа. Но она не способна контролировать всю сеть, как это делает NIPS. Лучшим способом для минимизации рисков является комбинация этих двух систем, где NIPS устанавливается на границе сетевых сегментов, а HIPS - на критичных серверах.
