Croc

IDS/IPS: от чего зависит эффективность систем обнаружения и предотвращения вторжений

IDS/IPS: от чего зависит эффективность систем обнаружения и предотвращения вторжений IDS/IPS: от чего зависит эффективность систем обнаружения и предотвращения вторжений IDS/IPS: от чего зависит эффективность систем обнаружения и предотвращения вторжений
24.08.2022

IDS – это система обнаружения вторжений. Она позволяет выявлять атаки или другие злонамеренные действия еще на ранних этапах, при первых взаимодействиях с инфраструктурой компании.

Более продвинутым классом таких решений можно назвать IPS-системы. Они не только обнаруживают нарушения, но и «отвечают» на них в автоматическом режиме, либо сразу предлагают оператору те или иные действия в ответ на угрозу.

В этой статье обсудим принципы работы систем обнаружения и предотвращения вторжений, их специфику и сильные стороны.

Важность правил для IDS-систем

Наиболее важный элемент IDS – это правила и сигнатуры. На их основе система идентифицирует те или иные действия как угрозу инфраструктуре.

Но для систем обнаружения вторжений важна «кастомизация», то есть использование специфичных правил, обусловленных инфраструктурой компании и ее частной практикой защиты от киберинцидентов.

Игорь Грачев

Начальник управления информационной безопасности в БРР Банк

Прежде всего надо понимать, что такое IDS/IPS (иногда IDPS)? – это комплекс систем обнаружения и предотвращения вторжений. Существует несколько видов систем IDS/IPS: сетевая (NIDS), основанная на протоколе (PIDS), основанная на прикладных протоколах (APIDS), узловая (HIDS), гибридная IDS/IPS.

Наиболее распространенный вариант – сетевой тип IDS/IPS. Комплекс устанавливается в стратегически важных местах сети организации и, в этом случае, комплекс работает на уровне сети, «заглядывая» в каждый сетевой пакет с канального уровня до уровня приложений (в сетевой модели OSI).

Наиболее схожий с классическим антивирусом вариант – узловая IDS/IPS. Такая система устанавливается на хост (компьютер) внутри сети и защищает только его по тем же принципам, которые используются в сетевой версии – проверяет и фильтрует входящий и исходящий трафик по пакетам.

Эффективность таких систем во многом зависит от актуальности сигнатур и правил, по которым работает система. Новые угрозы появляются фактически каждый день и тут вопрос актуальности сформированных правил защиты выходит на первый план.

Также, эффективность системы зависит от выбора места установки системы, от которого, в свою очередь, зависит что именно защищается с помощью IDS/IPS. Немаловажную роль играет выделение ресурсов для работы системы. Лучше всего себя зарекомендовали специализированные программно-аппаратные комплексы, аппаратная архитектура которых «заточена» под работу с сетевым трафиком.

Есть и еще один подход к работе, основанный на аномалиях – Intrusion detection system. В таком случае система проходит «ознакомительный» период работы, во время которого она изучает и запоминает текущее состояние инфраструктуры. Изученное становится эталоном, на который система будет ориентироваться в дальнейшем.

Если говорить об IPS, то здесь важны не только правила идентификации, но и модели реагирования, которые предписываются системе в случае наступления события.

Несмотря на разнообразие подходов как к сегментам инфраструктуры, так и к их анализу, IDS-системы не лишены минусов. Главный недостаток IDS – это вечная борьба с минимизацией количества ложноположительных срабатываний без потери эффективности.

От чего зависит эффективность IPS System

Самый большой риск при работе с IPS и IDS – это перегрузка системы. Она может наступить по двум причинам:

  • неправильная настройка;
  • внешнее воздействие.

«Запас прочности» любой системы во многом обусловлен ее настройками. В частности, большую роль играет выделенная под систему мощность на сервере. При избыточной генерации срабатываний системы образуется очередь, в которую попадают как значимые ИБ-события, так и условно «случайные», которые не имеют большого влияния на работу систему.

Игорь Ландырев

Специалист по тестированию на проникновение, Awillix

Если говорить об энтерпрайз, то тут важен вопрос частоты обновлений, скорости обработки пакетов (трафика) и мощностей, заложенных под сервер. Создание специфичных правил в коммерческих решениях может входить в зону ответственности вендора. В open source решениях добавляются квалификации администраторов систем, которые их настраивают и создают «кастомные» правила, а также мощность сервера обрабатывающего входные потоки и скорость обработки трафика.

Все IDS генерируют ложные срабатывания. Имеет место слеующая парадигма — если трафик входящий на IDS превышает скорость обработки, то появляются очереди, которые ведут к трем возможным проблемам:

  1. Увеличение времени создания событий.
  2. Некорректная обработка событий.
  3. Блокирование трафика из-за слабой мощности сервера.

В случае с IPS ситуация может быть еще критичнее, поскольку система тратит ресурс не только на обнаружение, но и на предупреждение угрозы. Для автоматической реакции большую важность имеют протоколы ранжирования и приоритезации инцидентов.

В текущих условиях вынужденного тренда на импортозамещение, вопрос обновления сигнатур особенно остро стоит для тех компаний, которые работали с иностранными вендорами. Например, на рынке пользовались популярностью решения компании Cisco, которая на данный момент прекратила поддержку своих продуктов в России.

Вывод

IDS и IPS могут снять со специалиста по информационной безопасности часть задач по выявлению и реагированию на инциденты. В то же время, этот класс решений не снимает с человека ответственности: конечное решение остается за специалистом.

Приоритетное значение «на дистанции» имеет поддержание базы сигнатур в актуальном состоянии, то есть – частота обновлений. В этом плане проприетарные решения выглядят более надежными, поскольку за ними стоит репутация вендора.

Интеграция такой системы в защиту компании сильно усложняет жизнь злоумышленникам: для проведения атаки нужно не только найти уязвимости, но и замаскировать их эксплуатацию под легитимное действие, что требует куда больше ресурсов, чем при классической атаке.


Комментарии 0