Системы обнаружения и предотвращения вторжений (IPS/IDS) - Сравнение и выбор

Системы обнаружения и предотвращения вторжений (IPS/IDS)

Средства, предназначенные для обнаружения и/или предотвращения вторжений (Intrusion Detection/Prevention System)

Вопрос
Задать вопрос

Описание и назначение

Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.

К основным функциям систем IDS относятся:

  • Обнаружение вторжений и выявление сетевых атак.
  • Прогнозирование и поиск уязвимостей.
  • Распознавание источника атаки (взломщики или инсайдеры).
  • Обеспечение контроля качества системного администрирования.

Концептуальная схема систем обнаружения вторжений включает в себя:

  • Подсистему сбора событий, или сенсорную.
  • Подсистему анализа данных, полученных от сенсорной подсистемы.
  • Подсистему хранения событий.
  • Консоль администрирования.

Функциональные особенности системы предотвращения вторжений схожи с IDS-компонентом. Однако IPS не позволяет постоянно отслеживать ситуацию в режиме реального времени и, соответственно, своевременно выполнять действия по предотвращению атак — как внешних, так и внутренних. Система помогает предотвращать наиболее популярные сетевые атаки, например, против уязвимых компонентов информационных систем и сервисов, атаки, нацеленные на повышение прав и привилегий или получение неавторизованного доступа к конфиденциальной информации, и, разумеется, предотвращать внедрение вредоносных программ, таких как трояны, черви, вирусы, во внутренние сети компаний.

При выборе системы IPS/IDS стоит помнить, что она имеет несколько видов, которые отличаются расположением, типом сенсоров и механизмами работы подсистемы анализа. В общем смысле, системы обнаружения и предотвращения вторжений могут быть:

  • Сетевыми (NIDS) — проверке подвергается сетевой трафик с концентратора или коммутатора.
  • В основе которых лежит протокол СОВ (PIDS) — позволяет наблюдать, например, за HTTP- и HTTPS-протоколами.
  • Основанными на прикладных протоколах СОВ (APIDS) — в таких системах проверяются специализированные прикладные протоколы.
  • Узловыми, или Host-Based (HIDS) — подвергают анализу журналы приложений, состояния хостов, а также системные вызовы.
  • Гибридными — включают в себя особенности нескольких видов систем обнаружения вторжений.

В настоящее время системы IPS/IDS по-прежнему активно развиваются, чтобы уменьшить число ложных срабатываний и увеличить эффективность решения. Результатом можно считать системы NGIPS, так называемые IPS-системы нового поколения, которые позволяют выполнять все функции в режиме реального времени, никак не влияя на сетевую активность организации, и помимо прочего предоставляют возможности мониторинга приложений и использования информации из сторонних источников, например баз уязвимостей.

В России требования к системам обнаружения вторжений появились еще в 2011 году. ФСТЭК России поделила СОВ на 6 классов защиты. Отличия между классами заключаются в уровне информационных систем и непосредственно информации, которая подлежит обработке (персональные данные, конфиденциальная информация, государственная тайна). Соответствие требованиям регулятора является важным фактором при выборе системы предотвращения вторжений. В то же время это положительно сказывается на развитии отечественного рынка таких решений.

 

Список средств защиты

Смарт-Софт
5
2 отзыва
Traffic Inspector Inspector Next Generation – отечественное решение сетевой безопасности, основанное на открытом коде OPNsense. Решение предоставляет IT-специалистам мощный набор инструментов для защиты локальной сети от внешних атак
Trend Micro
5
1 отзыв
Trend Micro TippingPoint — программно-аппаратное решение, выступающее в роли системы предотвращения вторжений нового поколения (NGIPS), со встроенной системой централизованного управления безопасностью.
Fortinet
0
0 отзывов
Fortinet FortiGate обеспечивает комплексную защиту сети компании
Код Безопасности
0
0 отзывов
Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ
Stonesoft
0
0 отзывов

В основе работы StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ...

Код Безопасности
0
0 отзывов
СОВ Континент — это аппаратное решение, выступающее в роли высокопроизводительной системы обнаружения и предотвращения вторжений (IDS/IPS) необходимое для реагирования на инциденты несанкционированного доступа в локальных сетях.
Check Point
0
0 отзывов
Check Point Next Generation Firewall - комплексное решение для обеспечения безопасности сетей
WatchGuard
0
0 отзывов
WatchGuardFirebox — решение для комплексного обеспечения сетевой безопасности
Cisco
0
0 отзывов
Cisco Firepower NGFW — корпоративный файрвол следующего поколения, с функциями обнаружения атак и реагирования на них.
Morphisec
0
0 отзывов
Morphisec — это решение, которое защищает сеть компании от большинства кибератак и угроз, выступает в роли системы защиты с использованием подвижных целей или moving target defense (MTD).