Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Системы предотвращения атак: как сделать правильный выбор

Системы предотвращения атак: как сделать правильный выбор

Системы предотвращения атак: как сделать правильный выбор


19.07.2007



Системы предотвращения атак (IPS) по сути являются развитием систем обнаружения атак (IDS). В то время как IDS лишь детектировали угрозы в сети и на хостах и посылали администратору оповещения различными способами, IPS сейчас блокируют атаки сразу в момент их появления. Кроме того, сейчас системы IPS являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты.

Рассмотрим характеристики, на которые надо обращать внимание при выборе IPS.

1. Величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно и почитать исследования независимых тестовых лабораторий

2. Количество ложных срабатываний. Ложные срабатывания производят на администраторов безопасности такое же впечатление, как на нас с вами – ежедневный спам. В конце концов, администратор может просто перестать реагировать на все сообщения системы.

3. Методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Тут надо обратить внимание на используемые технологии превентивной защиты (возможность защиты от атак, которые еще неизвестны). Тут к сожалению нужно отметить, что еще нет систем которые бы одновременно использовали два известных метода анализа атак: анализ протоколов(или сигнатурный) и поведенческий. Поэтому  для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов; другое - методы статистические и аналитические по анализу аномалий в поведении сетевых потоков.

4. Конкретные протоколы, которые анализирует система (например, анализ атак в javascript или отражение попыток sql injection или DDoS-атак).

Не все знают, что события IPS бывают не только типа "атака", встречаются также типы "аудит" и "статус". Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ – это атака. Если нет – значит, вы просто можете отслеживать все подключения.

4. Поддержка продуктов производителем. К сожалению, обновления алгоритмов, сигнатур и правил до сих пор необходимы. За прошлый год найдено 7146 уязвимостей, в этом году ожидается еще больше. Нужен постоянный контроль за актуальностью системы защиты. .

Источник: экспертная статья старшего системного инженера компании IBM Дениса Батранкова. Полный текст статьи будет опубликован в №4 журнала "Information Security/Информационная безопасность".

По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231

По вопросам размещения материалов в журнале обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"