Сетевая защита от целевых атак (NIPS)

Защита от целевых атак (Network Intrusion Prevention System) — это комплекс программных или аппаратных средств, направленных на защиту внутренней сети компании и блокирование целенаправленных атак злоумышленников в режиме реального времени. В общем смысле системы защиты от целевых атак производят глубокий анализ сетевого трафика узлов сети или сегментов, а также протоколов сетевого, транспортного и прикладного уровней, способны предотвращать попытки несанкционированного доступа и проводить профилактику запрещенной сетевой активности.

Для обеспечения защиты от целевых атак могут использоваться следующие решения:

• NIPS (могут быть самостоятельными аппаратными устройствами или являться модулем для маршрутизаторов, коммутаторов и другого сетевого оборудования).
• NBA (Network Behavior Analysis, или анализ поведения сети), в том числе NBAD (Network Behavior Anomaly Detection, нацеленные на аномалии поведения в сети) — в отличие от NIPS, отслеживают, что происходит внутри сети, агрегируя данные из множества точек входа с целью поддержки автономного анализа.

Основной причиной использования NIPS служит возможность системы защищать целостность, доступность и конфиденциальность информации, предотвращая от вирусов, троянов, червей и полиморфных угроз. С целью обнаружения вторжений сравниваются битные последовательности трафика с принятым за эталон образцом атаки. Другим методом является непрерывный анализ потока данных и на его основе фиксация подозрительной сетевой активности или нарушения принятой в компании политики безопасности.

Системы анализа сетевого поведения устанавливают контрольные значения обычного трафика, после чего отслеживают сетевую активность и неизвестные флаги, а также необычные шаблоны, которые могут указывать на наличие угрозы. NBA могут отслеживать и записывать тенденции использования полосы пропускания и протоколов. Таким образом позволяя защитить инфраструктуру от вредоносных программ и уязвимостей нулевого дня.

Системы NBAD отслеживают критические характеристики сети в реальном времени в пассивном режиме и в случае обнаружения аномалий или странных тенденций, которые могут указывать на наличие угрозы, генерируют сигнал тревоги. Системы обнаружения аномалий сетевого поведения могут в том числе контролировать поведение отдельных абонентов сети.

В то время как работа NIPS-систем основана на анализе данных прикладного уровня, работа NBA и NBAD основана на статическом анализе IP. Сигнатурный анализ NIPS как один из способов обнаружения противопоставляется отсутствию сигнатурных баз в NBA и NBAD, что означает зависимость эффективности систем обнаружения вторжений от образцов в базах данных разработчиков. Преимуществом NBA- и NBAD-систем является возможность работы с зашифрованным трафиком.

Несмотря на различия, каждое из представленных решений не заменяет, а дополняет друг друга. Так, например, основная задача NIPS — защита периметра и критических точек сети от уже известных атак; NBA и NBAD анализируют всю сеть, собирая данные с устройств сетевой инфраструктуры и устройств безопасности, показывая лучшие результаты в защите от атак нулевого дня и инсайдерских атак соответственно.