Система предотвращения вторжений (IPS) — это технология сетевой безопасности, которая отслеживает сетевой трафик для обнаружения аномалий в потоке трафика. Системы безопасности IPS перехватывают сетевой трафик и могут быстро предотвратить вредоносную активность, отбрасывая пакеты или сбрасывая соединения.

Это превентивная мера в рамках вашего плана реагирования на инциденты. Отмечу, что IPS должен использовать любой уважающий себя хостинг провайдер для защиты уже имеющихся VPS/VDS и выделенных серверов, а также для поиска противозаконного программного обеспечения на серверах клиентов в автоматическом режиме.

А как насчет виртуальных серверов?

Отмечу, что большинство виртуальных серверов является контейнерами с файлами, либо использует легко подключаемые образы дисков. Это форматы RAW, VMDK, QCOW2 и аналогичные им. Такие диски могут быть подключены штатными средствами KVM или LXC для их просмотра и сканирования с помощью средств IPS. После завершения процесса диск снова становится отмонтированным от главной консоли. При этом работа VPS/VDS не нарушается.

В чем разница IDS и IPS?

Не стоит путать IDS и IPS. Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) анализируют сетевой трафик на наличие сигнатур угроз или аномалий в сетевом трафике. Разница в том, что IDS — это система мониторинга, которая не изменяет сетевые пакеты, а IPS — это встроенная система управления, которая может остановить доставку пакетов на основе обнаруженных ею событий безопасности.

Большинство систем безопасности IPS также выполняют функцию IDS. Системы IDS, напротив, являются пассивными и не изменяют какие-либо сетевые коммуникации, поэтому они не могут функционировать как IPS.

IDS может быть либо аппаратным устройством, либо программным приложением, которое отслеживает сетевой трафик, входящий и исходящий, на предмет любых вредоносных действий или нарушений политики безопасности. То же самое относится и к безопасности IPS.

Какие бывают IDS?

IDS может быть как сетевым, так и хостовым:

• Сетевые системы обнаружения вторжений (NIDS) имеют датчики, стратегически расположенные внутри сети, иногда в нескольких местах, чтобы контролировать как можно больше трафика, не создавая узких мест в производительности.
• Хост-системы обнаружения вторжений (HIDS) работают на определенных хостах или устройствах, отслеживая связанный с ними трафик.

Система безопасности IPS может обнаруживать те же вредоносные действия и нарушения политики, что и IDS, и может дополнительно реагировать в режиме реального времени, чтобы остановить непосредственные угрозы:

• Как и IDS, IPS может быть сетевой с датчиками в различных точках сети или хостовой с датчиками на хосте для мониторинга отдельных устройств.
• В отличие от IDS, IPS позволяет настраивать правила и действия на основе политик, которые будут выполняться при обнаружении любой аномалии.

Как работает IDS?

Обнаружение на основе подписи

Большинство систем обнаружения вторжений (IDS) основаны на сигнатурах. Они работают аналогично сканеру вирусов, выполняя поиск известной вредоносной активности или сигнатуры для каждого события вторжения.

Хотя IDS на основе сигнатур очень эффективны при обнаружении известных атак, сигнатура должна создаваться для каждой атаки, и новые типы атак не могут быть обнаружены. Тем не менее, хакеры, как правило, постоянно тестируют и исследуют; Это только вопрос времени, когда они найдут способ обойти даже самые сложные системы обнаружения вторжений на основе сигнатур.

Обнаружение вторжений на основе аномалий

Хотя сигнатуры хорошо работают против атак с фиксированным поведенческим паттерном, они не так эффективны против динамических паттернов атак. IDS на основе аномалий устанавливает базовый уровень поведения сети. Этот базовый уровень представляет собой описание принятого сетевого поведения, которое изучается или определяется сетевыми администраторами. Механизм обнаружения аномалий идентифицирует событие, когда обнаруживает поведение, выходящее за рамки предопределенной или принятой поведенческой модели.

Пассивный мониторинг сети

Безопасность IPS также можно настроить на пассивный мониторинг сетевого трафика в определенных точках и выявление злонамеренного поведения. Он использует параметры порога безопасности, чтобы определить, является ли активность приемлемой или может быть вредоносной, и генерирует предупреждения для группы безопасности.

Против чего применяются IPS?

Решения безопасности IPS могут остановить любую атаку, основанную на вредоносном трафике, отправляемом по сети, при условии, что он имеет известную сигнатуру атаки или может быть обнаружен как аномальный по сравнению с обычным трафиком. IPS обычно используется для обнаружения и остановки всех перечисленных ниже атак.

Есть одно важное предостережение: современные DDoS-атаки осуществляются в больших масштабах, которые могут вывести из строя любое отдельно взятое защитное оборудование. Масштабные DDoS-атаки можно смягчить только с помощью распределенных ресурсов, таких как облачные сервисы очистки трафика.

Какие атаки сейчас известны?

DDoS атака

Попытка сделать сервер, службу или сеть недоступными, переполнив их потоком трафика от нескольких распределенных вычислительных систем.

Smurf атака

Тип DDoS атаки, при которой система переполняется большим количеством пакетов протокола управляющих сообщений Интернета (ICMP), в результате чего сеть жертвы перестает отвечать на запросы.

Пинг смерти

DoS-атака, при которой злоумышленник пытается вывести систему из строя, отправляя искаженные или слишком большие пакеты с помощью команды ping.

SYN-флуд атаки

DDoS атака, при которой большие объемы пакетов SYN (синхронизации) (запросы на подключение) отправляются на сервер или брандмауэр жертвы, что делает его недоступным.

Уклонение от SSL

Злоумышленники используют слепые зоны шифрования Secure Sockets Layer (SSL) / Transport Layer Security (TLS), используя SSL/TLS для сокрытия вредоносного контента, уклонения от обнаружения и обхода средств контроля безопасности.

Атака IP-фрагментации

Злоумышленники перегружают сетевые ресурсы, используя механизмы фрагментации дейтаграмм, вводя целевую систему в заблуждение относительно того, как следует собирать дейтаграммы TCP/UDP.
Атака со сканированием портов Злоумышленники отправляют запросы на ряд серверных портов с целью найти активный порт и использовать его уязвимость.

ARP-спуфинг

Злоумышленники отправляют поддельные сообщения протокола разрешения адресов (ARP), связывая MAC-адрес злоумышленника с IP-адресом законной системы и перенаправляя трафик из этой системы злоумышленнику.

Атаки на переполнение буфера

Злоумышленники используют уязвимости переполнения буфера, искажая путь выполнения приложения, перезаписывая части его памяти.

Атаки по отпечаткам ОС

Злоумышленники пытаются идентифицировать операционную систему конкретной цели и использовать ее уязвимости.

Ретрансляция SMB

Злоумышленники перехватывают запросы аутентификации протокола Server Message Block (SMB) и ретранслируют их на другой хост.

Что IPS дает отделу кибербезопасности?

• Автоматизированный ответ — системы IDS/IPS в основном автоматизированы. Они защищают сети от известных угроз с ограниченными временными затратами группы безопасности.
• Соответствие требованиям. Для обеспечения соответствия часто требуется доказать, что вы вложили средства в технологии и системы для защиты данных. Решения IDS/IPS обращаются к ряду средств управления безопасностью Центра интернет-безопасности (CIS) и предоставляют данные аудита, ценные для расследований соответствия.
• Применение политик — IDS/IPS помогает применять внутренние политики безопасности на сетевом уровне. Например, если вы поддерживаете только одну VPN, вы можете использовать IPS для блокировки трафика из другой VPN.