Система предотвращения вторжений нового поколения (NGIPS)

Система предотвращения вторжений нового поколения (Next Generation Intrution Prevention System – NGIPS) — это программный или аппаратный комплекс нового поколения, обеспечивающий обнаружение и предотвращение вторжений, позволяя заблокировать попытки несанкционированного доступа или вывода злоумышленниками из строя информационных систем через интернет или внутреннюю сеть компании.

NGIPS возникли на рынке информационной безопасности как развитие классических систем обнаружения и предотвращения вторжений (IDS/IPS). Такой комплекс позволяет защититься от прямых атак, вредоносных программ, ботнет-сетей, зараженных приложений, DoS-атак. Однако у традиционных систем были свои недостатки. Один из них — недопустимо большое количество ложных срабатываний.

Чем обширнее внутренняя сеть организации, тем сложнее администратору обеспечивать ее безопасность. Так, даже используя средства мониторинга, не всегда удается уследить за появлением новых уязвимостей, таких как:

• Установка новых приложений сотрудниками компаний на их рабочие станции.
• Самовольное подключение новых устройств в локальную сеть компании.
• Установка обновлений для операционных систем, которые, с одной стороны, закрывают старые уязвимости, но с другой стороны — могут открыть новые.
• Установка обновлений клиентских программ, которые также подвержены уязвимостям.

Чтобы выяснить, какой именно сервис или какая версия обновления программы является уязвимой, необходимо анализировать каждое изменение и иметь общую сводку сети организации.

Отличие систем NGIPS от IPS/IDS:

• Работают в режиме реального времени, что, однако, практически не сказывается на сетевой нагрузке организации.
• Используют единую платформу и централизованное управление, которые позволяют выполнять контроль приложений и их мониторинг, анализировать содержимое файлов, а также использовать внешние источники, такие как базы уязвимостей или геолокационные данные.

В инфраструктуре компаний системы IPS нового поколения могут размещаться в режиме IDS, получая и анализируя трафик со SPAN-порта коммутатора, так и в режиме фильтрации активного трафика. В случае использования аппаратных платформ, системы NGIPS поддерживают протокол STP, а также способны маршрутизировать трафик по протоколам OSPF и RIP. Системы обнаружения вторжений позволяют строить карты сети, проверяя заголовки пакетов, получаемых со SPAN-порта, и производят активное сканирование оборудования.

При использовании систем NGIPS следует придерживаться следующих рекомендаций:

Комплекс должен располагаться после межсетевого экрана, на входе контролируемого участка сети.

Для настройки и отработки правил не стоит сразу использовать блокирование трафика.

В случае настройки и использования системы NGIPS в разрыв необходимо дополнительно проводить ее мониторинг, чтобы избежать простоев в работе из-за выхода из строя системы обнаружения вторжений.