{"id":13637,"url":"\/distributions\/13637\/click?bit=1&hash=6eb6f4cc0fd514248f67334eed9cf9b381eca4ced68925ecf0d4e37273ec5a7a","title":"Ozon \u0440\u0430\u0437\u0432\u0435\u043d\u0447\u0438\u0432\u0430\u0435\u0442 \u043c\u0438\u0444\u044b \u043e \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0440\u0430\u0441\u043f\u0440\u043e\u0434\u0430\u0436\u0430\u0445","buttonText":"\u041f\u043e\u043a\u0430\u0436\u0438\u0442\u0435","imageUuid":"7d00f3f0-9073-5cd7-b901-ee3a06a62041","isPaidAndBannersEnabled":false}
ББР Банк АО

Говорят эксперты ББР Банка: IDS/IPS: от чего зависит эффективность систем обнаружения и предотвращения вторжений

IDS – это система обнаружения вторжений. Она позволяет выявлять атаки или другие злонамеренные действия еще на ранних этапах, при первых взаимодействиях с инфраструктурой компании.

Более продвинутым классом таких решений можно назвать IPS-системы. Они не только обнаруживают нарушения, но и «отвечают» на них в автоматическом режиме, либо сразу предлагают оператору те или иные действия в ответ на угрозу. Чтобы разобраться что, помимо расширенного функционала, отличает IDS от антивирусных систем, ее эффективность и методы обхода, мы поговорили с Начальником управления информационной безопасности БРР Банка (АО) Игорем Грачевым.

Прежде всего надо понимать, что такое IDS/IPS (иногда IDPS)? – это комплекс систем обнаружения и предотвращения вторжений. Существует несколько видов систем IDS/IPS: сетевая (NIDS), основанная на протоколе (PIDS), основанная на прикладных протоколах (APIDS), узловая (HIDS), гибридная IDS/IPS.

Наиболее распространенный вариант – сетевой тип IDS/IPS. Комплекс устанавливается в стратегически важных местах сети организации и, в этом случае, комплекс работает на уровне сети, «заглядывая» в каждый сетевой пакет с канального уровня до уровня приложений (в сетевой модели OSI).

Наиболее схожий с классическим антивирусом вариант – узловая IDS/IPS. Такая система устанавливается на хост (компьютер) внутри сети и защищает только его по тем же принципам, которые используются в сетевой версии – проверяет и фильтрует входящий и исходящий трафик по пакетам.

Эффективность таких систем во многом зависит от актуальности сигнатур и правил, по которым работает система. Новые угрозы появляются фактически каждый день и тут вопрос актуальности сформированных правил защиты выходит на первый план.

Также, эффективность системы зависит от выбора места установки системы, от которого, в свою очередь, зависит что именно защищается с помощью IDS/IPS. Немаловажную роль играет выделение ресурсов для работы системы. Лучше всего себя зарекомендовали специализированные программно-аппаратные комплексы, аппаратная архитектура которых «заточена» под работу с сетевым трафиком.

Есть и еще один подход к работе, основанный на аномалиях – Intrusion detection system. В таком случае система проходит «ознакомительный» период работы, во время которого она изучает и запоминает текущее состояние инфраструктуры. Изученное становится эталоном, на который система будет ориентироваться в дальнейшем.

IDS/IPS: от чего зависит эффективность систем обнаружения и предотвращения вторжений

От чего зависит эффективность IPS System

Самый большой риск при работе с IPS и IDS – это перегрузка системы. Она может наступить по двум причинам:

  • неправильная настройка;
  • внешнее воздействие.

«Запас прочности» любой системы во многом обусловлен ее настройками. В частности, большую роль играет выделенная под систему мощность на сервере. При избыточной генерации срабатываний системы образуется очередь, в которую попадают как значимые ИБ-события, так и условно «случайные», которые не имеют большого влияния на работу систему.

В случае с IPS ситуация может быть еще критичнее, поскольку система тратит ресурс не только на обнаружение, но и на предупреждение угрозы. Для автоматической реакции большую важность имеют протоколы ранжирования и приоритезации инцидентов.

Вывод

IDS и IPS могут снять со специалиста по информационной безопасности часть задач по выявлению и реагированию на инциденты. В то же время, этот класс решений не снимает с человека ответственности: конечное решение остается за специалистом.

Приоритетное значение «на дистанции» имеет поддержание базы сигнатур в актуальном состоянии, то есть – частота обновлений. В этом плане проприетарные решения выглядят более надежными, поскольку за ними стоит репутация вендора.

0
Комментарии

Комментарий удален модератором

Развернуть ветку
Читать все 0 комментариев
null