Что такое IDS?

Системы обнаружения вторжений (Intrusion Detection System) - это совокупность программных и/или аппаратных средств, служащих для выявления фактов несанкционированного доступа в компьютер/компьютерную сеть, а также предотвращения неавторизованного управления ими.

Что такое IDS?

Проще говоря, IDS - это система, которая обеспечивает безопасность деятельности пользователя, защищая его от разного рода вторжений и сетевых атак, коих в век информационных технологий просто не счесть. Кроме того, IDS - это возможность получать прогноз о будущих атаках и предотвращать их, а также узнавать информацию об "атакующих", которая может быть полезной для корректировки факторов, допустивших несанкционированных доступ.

Почему IDS необходимы?

В последнее время применение пользователями систем обнаружения вторжения активно набирает популярность. IDS - важнейший элемент информационной безопасности, необходимый каждому дальновидному пользователю. Система обнаружения вторжений позволит не только выявить компьютерную атаку и блокировать ее, но и выполнить это в удобном графическом интерфейсе - от пользователя не потребуется специальных знаний о сетевых протоколах и возможных уязвимостях.

По аналогии с антивирусными программами системы обнаружения вторжения применяют для базового метода обнаружения несанкционированной деятельности:

• на основе сигнатуры. В данном случае анализ проводится на базе соответствия определенному набору событий, которые уникально характеризуют то или иное известное нападение. Данная методика довольно эффективна и в коммерческих способах поиска опасности - главная.
• на основе аномалий. Такой тип работы характеризируется обнаружением атак путем идентификации необычного поведения сети, сервера или приложения. Системы, работающие по данному механизму, могут эффективно отслеживать нападения, однако их главная проблема - масса ложных срабатываний.

Архитектура IDS

Любая IDS включает в себя:

В большинстве простых IDS все вышеперечисленные компоненты реализованы в виде одного устройства. В зависимости от параметров сенсоров и методов анализа системы обнаружения вторжений обеспечивают разный уровень обнаружения атак.

IDS, защищающая сегмент сети

Этот тип систем очень надежен, поскольку развертывание происходит на специализированном сервере, на котором другие приложения работать не могут. При этом сервер можно сделать невидимым для нападающего. Для особенно качественной защиты
сети устанавливается ряд таких серверов, которые могут анализировать трафик во всех ее сегментах. При удачном расположении этих систем можно контролировать весьма масштабную сеть.

Недостаток IDS, защищающий сегмент сети, - сложность распознания атаки в момент высокой нагрузки сети. Кроме того, такая IDS сможет лишь сообщить о нападении, но не проанализировать степень проникновения.

IDS, защищающая отдельный сервер

Данные системы осуществляют сбор и анализ информации о подозрительных процессах, которые происходят на конкретном сервере. Такая IDS имеет довольно узкую задачу, а потому может выполнять высоко детализированный анализ, а также определять конкретного пользователя, который совершает несанкционированные действия.

Некоторые IDS, защищающие сервер, имеют возможность управлять сразу группой серверов, составляя общие отчеты о возможной сетевой атаке. В отличие от IDS, защищающих сегмент сети, эти системы могут работать даже в сети, которая использует шифрование, - в том случае, если информация на сервере до ее передачи содержится в открытом виде.

Главный минус IDS, контролирующих сервер(ы), - невозможность выполнять контроль всей сети. Для них видимы лишь пакеты, получаемые защищаемым сервером. Кроме того, эффективность работы систем снижается, когда сервер использует вычислительные ресурсы.

IDS, защищающая приложения

Эти системы защиты контролируют события, происходящие в пределах одного приложения. Как вы уже, наверно, догадались, такая система позволяет создавать отчет с максимально высокой степенью детализации, поскольку работает с еще более узкой задачей, чем система предыдущего типа.

IDS, защищающая приложение, использует знания о приложении, а также данные анализа его системного журнала для составления анализа. Система взаимодействует с приложением посредством API.

Недостаток IDS, защищающих приложения очевиден - слишком узкий профиль. Конечно, если для пользователя важно обеспечить безопасность конкретного приложения - это вполне приемлемый вариант.

IDS - надежная защита?

Системы обнаружения вторжений - эффективный инструмент защиты пользователя от разного рода несанкционированных атак, однако не стоит забывать, что если мы говорим о полноценной безопасности, IDS - всего лишь элемент данной системы. Полноценная безопасность это:

• политика безопасности интрасети;
• система защиты хостов;
• сетевой аудит;
• защита на базе маршрутизаторов;
• межсетевой экран;
• система обнаружения вторжений;
• политика реагирования на обнаруженные атаки.

Только грамотно сочетая все вышеперечисленные типы защиты, пользователь может быть абсолютно спокоен за безопасность хранения и передачи важных данных.

Лабораторная работа № _ . Системы обнаружения атак, работающие в режиме реального времени.

Цель работы : Ознакомление с принципами действия систем обнаружения атак, работающих в режиме реального времени. Установка и настройка реальной системы обнаружения атак Black ICE Defender .

ОСНОВНЫЕ ПОНЯТИЯ

Системы и сети являются целями атак. Все чаще и чаще фиксируются атаки на ресурсы Internet с целью нарушения существующей политики безопасности. Системы анализа защищенности (сканер безопасности) проверяют системы и сети в поиске проблем в их реализации и конфигурации, которые приводят к этим нарушениям. Системы обнаружения атак (далее IDS -системы, Intrusion Detection Systems ) собирают различную информацию из разнообразных источников и анализируют ее на наличие различных нарушений политики безопасности. И анализ защищенности, и обнаружение атак позволяют организациям защитить себя от потерь, связанных с нарушениями системы защиты.

IDS -системы собирают информацию об использовании целого ряда системных и сетевых ресурсов, затем анализируют информацию на наличие вторжения (атак, идущих снаружи организации) и злоупотреблений (атак, идущих изнутри организации). Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации ОС и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости.

Существует несколько классификаций IDS -систем. Одна из них - по принципу реализации:

host -based - обнаруживает атаки, направленные на конкретный узел сети,

Network - based - обнаруживает атаки, направленные на всю сеть или сегмент сети.

Системы класса host -based можно разделить еще на три подуровня:

Application IDS - обнаруживает атаки, направленные на конкретные приложения;

OS IDS - обнаруживает атаки, направленные на ОС;

DBMS IDS - обнаруживает атаки, направленные на СУБД.

Выделение обнаружения атак на СУБД в отдельную категорию связано с тем, что современные СУБД уже вышли из разряда обычных приложений и по многим своим характеристикам, в т.ч. и по сложности, приближаются к ОС. Таким образом, классификация IDS -систем по принципу реализации выглядит следующим образом:

Рис. 1. Классификация систем обнаружения атак по принципу реализации

IDS -системы выполняют следующий ряд функций:

Мониторинг и анализ пользовательской и системной активности;

Аудит системной конфигурации;

Контроль целостности системных файлов и файлов данных;

Распознавание шаблонов действий, отражающих известные атаки;

Статистический анализ шаблонов аномальных действий.

Целесообразно привести высказывания известных специалистов в области IDS -систем:

Маркус Ранум : IDS -системы достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем. Скорее всего, IDS -системы похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.

Ли Саттерфилд : Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность ОС, обнаруживать несанкционированные действия, и автоматически реагировать на них. Кроме того, IDS -системы могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени.

Исторически сложилось, что технологии, по которым строятся IDS -системы, принято условно делить на две категории: обнаружение аномального поведения (anomaly detection ) и обнаружение злоупотреблений (misuse detection ). Однако в практической деятельности применяется именно классификация, учитывающая принципы практической реализации таких систем - обнаружение атак на уровне сети и на уровне хоста.

Network-based системы анализируют сетевой трафик, в то время как host-based - регистрационные журналы ОС или приложения. Каждый из классов имеет свои достоинства и недостатки. Необходимо заметить, что лишь некоторые IDS -системы могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее, эта классификация отражает ключевые возможности, отличающие одну IDS -систему от другой.

Принципиальное преимущество сетевых IDS -систем в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, IDS -системы на уровне сети практически не снижают производительности сети.

IDS -системы на уровне хоста были разработаны для работы под управлением конкретной ОС, что накладывает на них определенные ограничения. Используя знание того, как должна себя "вести" ОС, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается высокой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени (например, система "Операционный день банка", система управления технологической системой или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты Вашей организации. Если Вы хотите защитить один или несколько узлов, то IDS -системы на уровне хоста могут быть неплохим выбором. Но, если Вы хотите защитить большую часть сетевых узлов организации, то IDS -системы на уровне сети, вероятно, будут лучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи IDS -системы. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением было бы применение IDS -системы, объединяющей в себе оба эти подхода.

Технология, по которой построены данные системы, основана на гипотезе, что аномальное поведение пользователя (т.е. атака или какое-либо враждебное действие) часто проявляется как отклонение от нормального поведения. Примерами аномального поведения могут служить: большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора или использование периферийных устройств, которые обычно не задействуются пользователем. Если бы мы смогли описать профиль нормального поведения пользователя, то любое отклонение от него можно охарактеризовать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременная посылка большого числа запросов об активности станций от администратора системы сетевого управления. Многие IDS -системы идентифицируют этот пример, как атаку типа "отказ в обслуживании" ("denial of service "). С учетом этого факта необходимо отметить, что возможны два крайних случая при эксплуатации системы:

1. Обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак.

2. Пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай гораздо более опасен, чем ложное отнесение аномального поведения к классу атак. Поэтому при настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:

Построение профиля пользователя. Трудно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы.

Определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из вышеназванных крайних случаев.

Организация ids-системы

Все системы обнаружения атак могут быть построены на основе двух архитектур: "автономный агент " и "агент-менеджер ". В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура "агент-менеджер ".

Ниже приведен список компонент, из которых должна состоять типичная IDS -система:

1. Графический интерфейс . Не надо говорить, что даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружелюбный интерфейс. В зависимости от ОС, под управлением которой функционирует IDS -система, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix .

2. Подсистема управления компонентами . Данная подсистема позволяет управлять различными компонентами IDS -системы. Управление может осуществляться, как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например, SNMP . Под термином "управление" понимается как возможность изменения политики безопасности для различных компонентов IDS -системы (например, модулей слежения), так и получение информации от этих компонент (например, сведения о зарегистрированной атаке).

3. Подсистема обнаружения атак . Основной компонент IDS -системы, который осуществляет анализ информации, получаемой от модуля слежения. По результатам анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т. д.

4. Подсистема реагирования . Подсистема, осуществляющая реагирование на обнаруженные атаки и иные контролируемые события.

Более подробно варианты реагирования будут описаны ниже.

5. Модуль слежения . Компонент, обеспечивающий сбор данных из контролируемого пространства (регистрации или сетевого трафика). У разных производителей может называться: сенсором (sensor ), монитором (monitor ), зондом (probe ).

В зависимости от архитектуры построения IDS -системы может быть физически отделен (архитектура "агент-менеджер ") от других компонентов, т. е. находиться на другом компьютере.

6. База знаний . В зависимости от методов, используемых в IDS -системе, база знаний может содержать профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. Эта база может пополняться производителем IDS -системы, пользователем системы или третьей стороной, например, компанией, осуществляющей поддержку этой системы.

7. Хранилище данных . Обеспечивает хранение данных, собранных в процессе функционирования IDS -системы.

Методы реагирования ids-системы

Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование:

1. Уведомление . Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль IDS -системы. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону.

2. Сохранение . К категории "сохранение" относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени.

Первый вариант широко распространен во многих системах защиты.

Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

3. Активное реагирование . К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т. е. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.

Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.

Общее описание технологии

Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:

• Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
• Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
• Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:

• IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
• IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
• IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).

Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.

Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.

1. Обнаружение атаки, основанное на сигнатурах.

Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:

• соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
• входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
• лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.

2. Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.

Технология IDS/IPS в ALTELL NEO

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO

Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.

В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

• Alert (режим IDS) - трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
• Drop (режим IPS) - анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
• Reject (режим IPS) - в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
• Pass (режим IDS и IPS) - в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.

Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

INFO

• О Mod_Security и GreenSQL-FW читай в статье «Последний рубеж», ][_12_2010.
• Как научить iptables «заглядывать» внутрь пакета, читай в статье «Огненный щит», ][_12_2010.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS , анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_12_2010).

Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.

Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проекты OpenDPI и Fwsnort . Последний представляет собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов. IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR , которая работает на втором уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.

В обычной жизни дверь не только запирают на замок, но и дополнительно защищают, оставляя возле нее охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT в качестве такого секьюрити выступают хостовые IPS (см. «Новый оборонительный рубеж» в ][_08_2009), защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусами, имеющими модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Они контролируют гораздо больше системных параметров: процессы, целостность системных файлов и реестра, записи в журналах и многое другое.

Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Для этой цели были созданы гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM - Security Information Management). Среди OpenSource-проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (поддержка этой системы приостановлена несколько лет назад, но собранные пакеты еще можно найти в репозиториях Linux и *BSD).

В разнообразии предлагаемых решений может запутаться даже профи. Сегодня мы познакомимся с наиболее яркими представителями IDS/IPS-систем.

Объединенный контроль угроз

Современный интернет несет огромное количество угроз, поэтому узкоспециализированные системы уже не актуальны. Необходимо использовать комплексное многофункциональное решение, включающее все компоненты защиты: файервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам-фильтр. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). В качестве примеров UTM можно привести Trend Micro Deep Security , Kerio Control , Sonicwall Network Security , FortiGate Network Security Platforms and Appliances или специализированные дистрибутивы Linux, такие как Untangle Gateway, IPCop Firewall, pfSense (читай их обзор в статье «Сетевые регулировщики», ][_01_2010).

Suricata

Бета-версия этой IDS/IPS была представлена на суд общественности в январе 2010-го после трех лет разработок. Одна из главных целей проекта - создание и обкатка совершенно новых технологий обнаружения атак. За Suricata стоит объединение OISF, которое пользуется поддержкой серьезных партнеров, включая ребят из US Department of Homeland Security. Актуальным на сегодня является релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не GPL-версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата к работе привлекается сообщество, что позволяет достигнуть очень высокого темпа разработки. Например, по сравнению с предыдущей версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные IDS с длинной историей, в том числе и Snort, не совсем эффективно используют многопроцессорные/многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме. Тесты показывают, что она шестикратно превосходит Snort в скорости (на системе с 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратного ускорения на стороне GPU. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6’), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще, модульная компоновка позволяет быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов. Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах необязательно привязываться к номеру порта (как это делает Snort), достаточно лишь задать действие для нужного протокола. Ivan Ristic, автор Mod_security, создал специальную библиотеку HTP, применяемую в Suricata для анализа HTTP-трафика. Разработчики прежде всего стремятся добиться точности обнаружения и повышения скорости проверки правил.

Вывод результатов унифицирован, поэтому можно использовать стандартные утилиты для их анализа. Собственно, все бэк-энды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т. д.), без доработок работают и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулсеты, созданные для других проектов: Sourcefire VRT (можно обновлять через Oinkmaster), и Emerging Threats Pro . В первых релизах поддержка была лишь частичной, и движок не распознавал и не загружал некоторые правила, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающий снортовский. Правило состоит из трех компонентов: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. При этом информацию из потока можно сохранять для последующего использования. Такой подход, применяемый для отслеживания попыток подбора пароля, более эффективен, чем используемый в Snort метод, который оперирует пороговым значением срабатывания. Планируется создание механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).

Резюмируя, отмечу, что Suricata - это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта - скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec , построенный на базе Suricata.

Samhain

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

• создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с «живой» системой;
• мониторинг и анализ записей в журналах;
• контроль входа/выхода в систему;
• мониторинг подключений к открытым сетевым портам;
• контроль файлов с установленным SUID и скрытых процессов.

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft - StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов - PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

Предусмотрено несколько вариантов действий при обнаружении атаки - блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки - RAID, блок питания, вентилятор охлаждения - дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS - Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

• Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) - так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
• Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
• Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
• Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

В статье рассматриваются популярные IPS-решения в контексте мирового и российского рынков. Дается определение базовой терминологии, история возникновения и развития IPS-решений, а также рассматривается общая проблематка и сфера применения IPS-решений. Также приводится сводная информация о функциональных возможностях наиболее популярных IPS-решений от различных производителей.

Что такое IPS?

Прежде всего, дадим определение. Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства, предназначенные для обнаружения и/или предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

IDS/IPS-системы используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например: попытки использования уязвимостей программного обеспечения; попытки повешения привилегий; несанкционированный доступ к конфиденциальным данным; активность вредоносных программ и т.д.

Использование IPS-систем преследует несколько целей:

• Обнаружить вторжение или сетевую атаку и предотвратить их;
• Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития;
• Выполнить документирование существующих угроз;
• Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
• Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;
• Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

В целом, IPS аналогичны IDS. Главное же отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

IDS, в свою очередь, обычно состоит из:

• системы сбора событий;
• системы анализа собранных событий;
• хранилища, в котором накапливаются собранные события и результаты их анализа;
• базы данных об уязвимостях (этот параметр является ключевым, так как чем больше база у производителя, тем больше угроз способна выявлять система);
• консоли управления, которая позволяет настраивать все системы, осуществлять мониторинг состояния защищаемой сети, просматривать выявленные нарушения и подозрительные действия.

По способам мониторинга IPS-системы можно разделить на две большие группы: NIPS (Network Intrusion Prevention System) и HIPS (Host Intrusion Prevention System). Первая группа ориентирована на сетевой уровень и корпоративный сектор, в то время как представители второй имеют дело с информацией, собранной внутри единственного компьютера, а следовательно могут использоваться на персональных компьютерах. Сегодня HIPS часто входят в состав антивирусных продуктов, поэтому, в контексте данной статьи, эти системы мы рассматривать не будем.

Среди NIPS и HIPS также выделяют:

• Protocol-based IPS, PIPS. Представляет собой систему (либо агент), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.
• Application Protocol-based IPS, APIPS. Представляет собой систему (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, отслеживание содержимого SQL-команд.

Что касается форм-фактора, IPS-системы могут быть представлены как в виде отдельного «железного» решения, так и в виде виртуальной машины или софта.

Развитие технологии. Проблемы IPS.

Системы предотвращения вторжений появились на стыке двух технологий: межсетевых экранов (firewall) и систем обнаружения вторжений (IDS). Первые умели пропускать трафик через себя, но анализировали лишь заголовки IP-пакетов. Вторые же, напротив, «умели» всё то, чего были лишены межсетевые экраны, то есть анализировали трафик, но не могли как-либо влиять на ситуацию, так как устанавливались параллельно и трафик через себя не пропускали. Взяв лучшее от каждой технологии, появились IPS-системы.

Становление современных IPS-систем, шло через четыре направления. Так сказать, от частного к общему.

Первое направление – развитие IDS в inline-IDS. Другими словами, необходимо было встроить IDS-систему в сеть не параллельно, а последовательно. Решение оказалось простым и эффективным: IDS поместили между защищаемыми и незащищаемыми ресурсами. Из этого направления, вероятнее всего, развились программные варианты IPS

Второе направление становления IPS не менее логичное: эволюция межсетевых экранов. Как вы понимаете, им не хватало глубины анализа пропускаемого через себя трафика. Добавление функционала глубокого проникновения в тело данных и понимания передаваемых протоколов позволило стать межсетевым экранам настоящими IPS-системами. Из этого направления, вероятнее всего, развились аппаратные IPS.

Третьим «источником» стали антивирусы. От борьбы с «червями», «троянами» и прочими вредоносными программами до IPS-систем оказалось совсем недалеко. Из этого направления, вероятнее всего, развились HIPS.

Наконец, четвёртым направлением стало создание IPS-систем «с нуля». Здесь, собственно, и добавить нечего.

Что же касается проблем, у IPS, как и у любых других решений, они были. Основных проблем выделяли три:

1. большое количество ложных срабатываний;
2. автоматизация реагирования;
3. большое число управленческих задач.

С развитием систем, эти проблемы успешно решались. Так, к примеру, для снижения процента ложных срабатываний начали применять системы корреляции событий, которые «выставляли приоритеты» для событий и помогали IPS-системе эффективнее выполнять свои задачи.

Всё это привело к появлению IPS-систем следующего поколения (Next Generation IPS – NGIPS). NGIPS должна обладать следующими минимальными функциями:

• Работать в режиме реального времени без воздействия (или с минимальным воздействием) на сетевую активность компании;
• Выступать в качестве единой платформы, объединяющей в себе как все преимущества предыдущего поколения IPS, так и новые возможности: контроль и мониторинг приложений; использование информации из сторонних источников (базы уязвимостей, геолокационные данные и т.д.); анализ содержимого файлов.

Рисунок 1. Функциональная схема эволюционных этапов IPS-систем

Мировой и российский рынок IPS. Основные игроки, различия.

Говоря о мировом рынке IPS-систем, эксперты часто ссылаются на отчёты Gartner, и в первую очередь на «волшебный квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2012). На 2012 год ситуация была такова:

Рисунок 2. Распределение основных игроков рынка IPS-систем в мире. Информация Gartner, июль 2012

Прослеживались явные лидеры в лице McAfee, Sourcefire и HP, к которым очень стремилась всем известная Cisco. Однако лето 2013 внесло свои коррективы. Вначале мая по различным тематическим блогам и форумам пронеслась волна обсуждений, поднятая анонсом сделки между McAfee и Stonesoft. Американцы собирались купить финского «визионера», громко заявившего о себе несколько лет назад, открыв новый вид атак AET (Advanced Evasion Techniques).

Тем не менее, на этом сюрпризы не закончились и, буквально спустя пару месяцев, корпорация Cisco объявила о заключении соглашения с Sourcefire и покупке этой компании за рекордные $2.7 млрд. Причины были более чем весомые. Sourcefire известна своей поддержкой двух разработок с открытым кодом: механизма обнаружения и предотвращения вторжений Snort и антивируса ClamAV. При этом технология Snort стала стандартом де-факто для систем предупреждения и обнаружения вторжений. Суть же в том, что на российском рынке Cisco Systems является основным поставщиком решений по сетевой безопасности. Она одной из первых пришла на российский рынок, ее сетевое оборудование стоит практически в каждой организации, соответственно, нет ничего необычного в том, что решения по сетевой безопасности также заказывают у этой компании.

Кроме того, Cisco Systems ведет очень грамотную деятельность по продвижению своей линейки безопасности на российском рынке. И в настоящий момент ни одна компания не может сравниться с Cisco Systems по уровню работы с рынком, как в маркетинговом плане, так и в плане работы с партнерами, госорганизациями, регуляторами и пр. Отдельно стоит отметить, что данная компания уделяет очень большое внимание вопросам сертификации по российским требованиям, тратя на них намного больше, чем другие западные производители, что также способствует сохранению лидирующего положения на российском рынке. Выводы, как говорится, делайте сами.

И, если с мировым рынком IPS-систем всё более-мене понятно, – в скором времени произойдёт «перетасовка» лидеров – то с российским рынком не всё так просто и прозрачно. Как уже было отмечено выше, отечественный рынок имеет свою специфику. Во-первых, большую роль играет сертификация. Во-вторых, если процитировать Михаила Романова , являющегося одним из авторов глобального исследования «Рынок информационной безопасности Российской Федерации», то «конкурентоспособные IPS-решения российского производства фактически отсутствуют. Автору известны только три российских решения данного типа: «Аргус», «Форпост» и «РУЧЕЙ-М» (не позиционируется как IPS). Найти «Аргус» или «РУЧЕЙ-М» в Интернете и купить не представляется возможным. Решение «Форпост» производства компании РНТ, позиционируется как сертифицированное решение, полностью основанное на коде SNORT (и этого разработчики не скрывают). Разработчик не предоставляет свое решение на тестирование, продукт никак не продвигается на рынке, то есть создается впечатление, что РНТ продвигает его только в собственные проекты. Соответственно, увидеть эффективность этого решения не представляется возможным».

К упомянутым трём системам можно также отнести комплекс «РУБИКОН», который позиционируется компанией «Эшелон» не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений. К сожалению, информации по нему не так много .

Последнее решение от российского производителя, которое удалось найти – IPS-система (входит в UTM-устройство ALTELL NEO), представляющая собой, по их словам, «доработанную» открытую технологию Surricata, которая использует актуальные базы сигнатур из открытых источников (National Vulnerability Database и Bugtrax). Всё это вызывает больше вопросов, чем понимания.

Тем не менее, исходя из предложений интеграторов, можно продолжить список предлагаемых на российском рынке IPS-систем и дать краткое описание для каждого из решений:

Cisco IPS (сертифицирован ФСТЭК)

Являясь частью Cisco Secure Borderless Network, Cisco IPSпредоставляет следующие возможности:

• Предотвращение вторжения более 30000 известных эксплоитов;
• Автоматическое обновление сигнатур с глобального сайта Cisco Global Correlation для динамического распознавания и предотвращения вторжений атак со стороны Internet;
• Передовые исследования и опыт Cisco Security Intelligence Operations;
• Взаимодействие с другими сетевыми компонентами для предотвращения вторжений;
• Поддержка широкого спектра вариантов развертывания в режиме, близком к реальному времени.

Всё это позволяет защитить сеть от таких атак, как:

• Прямые атаки (directed attacks);
• Черви, вирусы (worms);
• Ботнет сети (botnets);
• Вредоносные программы (malware);
• Заражённые приложения (application abuse).

Sourcefire IPS, Adaptive IPS и Enterprise Threat Management

Среди главных преимуществ выделяют:

• Разработка систем на основе SNORT;
• Гибкие правила;
• Интеграция с MSSP;
• Технология пассивной прослушки (нулевое влияние на сеть);
• Работа в реальном масштабе времени;
• Поведенческое обнаружение аномалий в сети (NBA);
• Персонализация событий.

McAfee Network Security Platform (ранее, IntruShield Network Intrusion Prevention System) (сертифицирован ФСТЭК)

Преимущества решения:

• Интеллектуальное управление безопасностью

Решение позволяет сократить число специалистов и затраты времени, необходимые для мониторинга и расследования событий безопасности, и одновременно упрощает управление сложными масштабными развертываниями. Благодаря направляемому детальному анализу метод последовательного раскрытия обеспечивает нужную информацию именно тогда и там, где она нужна, а иерархическое управление обеспечивает масштабирование.

• Высокий уровень защиты от угроз

Защита от угроз обеспечивается благодаря ядру сигнатур на основе анализа уязвимостей, которое преобразовано в платформу нового поколения путем интеграции самой современной технологии анализа поведения и сопоставления множества событий. «Малоконтактные» средства защиты на основе сигнатур позволяют удерживать операционные затраты на низком уровне и эффективно защищают от известных угроз, а передовая технология анализа поведения и сопоставления событий обеспечивают защиту от угроз следующего поколения и «нулевого дня».

• Использование глобальной системы защиты от вредоносных программ
• Инфраструктура Security Connected

Решение улучшает уровень сетевой безопасности, способствует оптимизации системы сетевой безопасности, наращивая ее экономическую эффективность. Кроме того, решение позволяет согласовывать сетевую безопасность с бизнес-программами для достижения стратегических целей.

• Быстродействие и масштабируемость
• Сбор информации и контроль. Получение информации о действиях пользователей и устройствах, которая прямо интегрируется в процесс контроля и анализа

Stonesoft StoneGate IPS (сертифицирован ФСТЭК)

В основе работы StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур (виртуальное профилирование).

Особенностью Stonesoft IPS является наличие встроенной системы анализа событий безопасности, которая значительно уменьшает трафик, передаваемый от IPS до системы управления, и количество ложных срабатываний. Первоначальный анализ событий производится сенсором Stonesoft IPS, затем информация от нескольких сенсоров передается на анализатор, который осуществляет корреляцию событий. Таким образом, несколько событий могут указывать на распределенную во времени атаку или на сетевого червя - когда решение о вредоносной активности принимается на основании нескольких событий из «общей картины», а не по каждому отдельному случаю.

Ключевые возможности StoneGate IPS:

• обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
• применение фирменной технологии АЕТ (Advanced Evasion Techniques) - технологии защиты от динамических техник обхода;
• обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
• возможность обработки фрагментированного сетевого трафика;
• возможность контроля нескольких сетей с разными скоростями;
• декодирование протоколов для точного определения специфических атак, в том числе и внутри SSL соединений;
• возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур из Open Source баз);
• блокировка или завершение нежелательных сетевых соединений;
• анализ «историй» событий безопасности;
• анализ протоколов на соответствие RFC;
• встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний;
• создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;
• дополнительная функциональность прозрачного межсетевого экрана Transparent Access Control, что позволяет в отдельных случаях отказаться от использования МЭ без какого-либо снижения эффективности защиты;
• анализ GRE туннелей, любых комбинаций инкапсуляции IP v6, IPv4;
• централизованное управление и мониторинг, простая в использовании и одновременно гибкая в настройке система генерации отчетов.

Детектор атак АПКШ «Континент» (Код Безопасности) (сертифицирован ФСТЭК и ФСБ)

Детектор атак «Континент» предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP. Детектор атак «Континент» реализует функции системы обнаружения вторжений (СОВ) и обеспечивает разбор и анализ трафика с целью выявления компьютерных атак, направленных на информационные ресурсы и сервисы.

Основные возможности детектора атак «Континент»:

• Централизованное управление и контроль функционирования при помощи центра управления системой «Континент».
• Сочетание сигнатурных и эвристических методов обнаружения атак.
• Оперативное реагирование на выявленные вторжения.
• Оповещение ЦУС о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени.
• Выявление и регистрация информации об атаках.
• Анализ собранной информации.

IBM Proventia Network Intrusion Prevention System (сертифицирован ФСТЭК)

Система предотвращения атак Proventia Network IPS предназначена для блокирования сетевых атак и аудита работы сети. Благодаря запатентованной технологии анализа протоколов решение IBM Internet Security Systems обеспечивает превентивную защиту – своевременную защиту корпоративной сети от широкого спектра угроз. Превентивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности GTOC (gtoc.iss.net) и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы X-Force.

Основные возможности Proventia Network IPS:

• Разбирает 218 различных протоколов включая протоколы уровня приложений и форматы данных;
• Более 3000 алгоритмов используется при анализе трафика для защиты от уязвимостей;
• Технология Virtual Patch – защита компьютеров пока не установлены обновления;
• Режим пассивного мониторинга и два режима установки на канал;
• Поддержка нескольких зон безопасности одним устройством, включая зоны VLAN;
• Наличие встроенных и внешних bypass модулей для непрерывной передачи данных через устройство в случае системной ошибки или отключения энергоснабжения;
• Множество способов реагирования на события, включая логирование пакетов атаки;
• Контроль утечек информации в данных и в офисных документах передаваемых по пиринговым сетям, службам мгновенных сообщений, веб почте и другим протоколам;
• Детализированная настройка политик;
• Запись трафика атаки;
• Поддержка пользовательских сигнатур;
• Возможность блокирования новых угроз на основании рекомендаций экспертов X-Force.

Check Point IPS (сертифицирован для межсетевых экранов и для UTM)

Программный блейд Check Point IPS предоставляет исключительные возможности предотвращения вторжений на многогигабитных скоростях. Для достижения высокого уровня сетевой защиты многоуровневый механизм IPS Threat Detection Engine использует множество различных методов обнаружения и анализа, в том числе: использование сигнатур уязвимостей и попыток их использования, выявление аномалий, анализ протоколов. Механизм IPS способен быстро фильтровать входящий трафик без необходимости проведения глубокого анализа трафика, благодаря чему на наличие атак анализируются лишь соответствующие сегменты трафика, что ведет к понижению расходов и повышению точности.

В решении IPS применяются высокоуровневые средства динамического управления компании Check Point, что позволяет графически отображать только значимую информацию, легко и удобно изолировать данные, требующие дальнейших действий со стороны администратора, а также соответствовать нормативным требованиям и стандартам отчетности. Кроме того, решения Check Point IPS - как программный блейд IPS, так и аппаратное устройство Check Point IPS-1 - управляются с помощью единой консоли управления SmartDashboard IPS, что обеспечивает унифицированное управление средствами IPS.

Ключевые преимущества:

• Полноценные средства защиты IPS – Весь функционал IPS, встроенный в используемый межсетевой экран;
• Лидерство в отрасли по показателям производительности – Многогигабитная производительность системы IPS и межсетевого экрана;
• Динамическое управление – Весь набор средств управления, включая представления событий безопасности в режиме реального времени и автоматизированный процесс защиты;
• Защита между релизами патчей – Повышение уровня защиты в случаях задержки выпуска патчей.

Trend Micro Threat Management System (основано на Smart Protection Network)

Trend Micro Threat Management System - решение для анализа и контроля сети, предоставляющее уникальные возможности в области обнаружения малозаметных вторжений, а также автоматизирующее устранение угроз. Это надежное решение, которое основано на Trend Micro Smart Protection Network (наборе модулей для обнаружения и анализа угроз), а также актуальной информации, полученной исследователями угроз из Trend Micro, обеспечивает наиболее эффективные и современные возможности предотвращения угроз.

Основные преимущества:

• Более быстрая реакция на возможную потерю данных благодаря раннему обнаружению новых и известных вредоносных программ;
• Снижение расходов на сдерживание угроз и устранение ущерба, а также сокращение времени простоя благодаря индивидуальному подходу к автоматизированному устранению новых угроз безопасности;
• Проактивное планирование инфраструктуры безопасности и управление ею благодаря накопленным знаниям о слабых местах сетей и основных причинах угроз;
• Экономия пропускной способности и ресурсов сети благодаря выявлению приложений и служб, нарушающих функционирование сети;
• Упрощенное управление угрозами и информацией о нарушениях системы безопасности благодаря удобному централизованному порталу управления;
• Невмешательствов работу существующих служб благодаря гибкой системе развертывания вне полосы пропускания.

Palo Alto Networks IPS

Компания Palo Alto Networks™ является лидером на рынке сетевой безопасности и создателем межсетевых экранов нового поколения. Полная визуализация и контроль всех приложений и контента в сети по пользователю, а не по IP адресу или порту на скоростях до 20Gbps без потери производительности, является основным преимуществом среди конкурентных решений.

Межсетевые экраны Palo Alto Networks, основанные на запатентованной технологии App-ID™, точно идентифицируют и контролируют приложения – вне зависимости от порта, протокола, поведения или шифрования – и сканируют содержимое для предотвращения угроз и утечки данных.

Основная идея межсетевых экранов нового поколения, по сравнению с традиционными подходами, в том числе и UTM решениями, заключается в упрощении инфраструктуры сетевой безопасности, устраняет необходимость в различных автономных устройствах безопасности, а также обеспечивает ускорение трафика за счет однопроходного сканирования. Платформа Palo Alto Networks решает широкий спектр требований сетевой безопасности, необходимых различному типу заказчиков: от центра обработки данных до корпоративного периметра с условными логическими границами, включающие в себя филиалы и мобильные устройства.

Межсетевые экраны нового поколения Palo Alto Networks дают возможность идентифицировать и контролировать приложения, пользователей и контент – а не просто порты, IP адреса и пакеты – используя три уникальных технологии идентификации: App-ID, User-ID и Content-ID. Эти технологии идентификации позволяют создавать политики безопасности, разрешающие конкретные приложения, необходимые бизнесу, вместо того, чтобы следовать распространенной концепции – «все или ничего», которую предлагают традиционные межсетевые экраны, основанные на блокировке портов.

HP TippingPoint Intrusion Prevention System

TippingPoint - лучшая в отрасли система предотвращения вторжений (Intrusion Prevention System, IPS), не имеющая себе равных по таким показателям, как обеспечиваемый уровень безопасности, производительность, степень готовности и простота использования. TippingPoint - единственная IPS-система, получившая награду Gold Award организации NSS Group и сертификат Common Criteria - фактически является эталоном в области сетевых средств для предотвращения вторжений.

Основополагающая технология в продуктах TippingPoint - механизм подавления угроз Threat Suppression Engine (TSE), реализованный на базе специализированных интегральных микросхем (ASIC). Благодаря сочетанию заказных ASIC, объединительной панели с пропускной способностью 20 Гбит/c и высокопроизводительных сетевых процессоров механизм TSE обеспечивает полный анализ потока пакетов на уровнях 2-7; при этом задержка прохождения потока через IPS-систему составляет менее 150 мкс вне зависимости от количества примененных фильтров. Таким образом осуществляется непрерывная очистка внутрисетевого и интернет-трафика и безошибочное выявление таких угроз, как черви, вирусы, троянские программы, смешанные угрозы, фишинг, угрозы через VoIP, атаки DoS и DDoS, обход систем защиты, “заходящие черви” (Walk-in-Worms), нелегальное использование пропускной способности канала, прежде чем будет нанесен реальный вред. Кроме того, архитектура TSE классифицирует трафик, что позволяет предоставить наивысший приоритет ответственным приложениям.

TippingPoint обеспечивает также текущую защиту от угроз, обусловленными вновь выявленными уязвимостями. Анализируя такие уязвимости для института SANS, специалисты компании TippingPoint, которые являются основными авторами информационного бюллетеня , публикующего наиболее актуальные сведения о новых и существующих уязвимых местах в системе безопасности сети, одновременно разрабатывают фильтры защиты от атак, ориентированных на данные уязвимости, и включают их в состав очередного выпуска Digital Vaccine («цифровая вакцина»). Вакцины создаются для нейтрализации не только конкретных атак, но и их возможных вариаций, что обеспечивает защиту от угроз типа Zero-Day.

«Цифровая вакцина» доставляется заказчикам еженедельно, а в случае выявления критических уязвимостей - немедленно. Устанавливаться она может автоматически без участия пользователя, что упрощает для пользователей процедуру обновления системы безопасности.

На сегодняшний день флагманским продуктом компании является HP TippingPoin Next-Generation Intrusion Prevention System, позволяющая наиболее эффективно контролировать все уровни сетевой активности компании за счёт:

• Собственных баз данных Application DV и Reputation DV
• Принятия решения на основании множества факторов, объединённых системой HP TippingPoin Security Management System;
• Лёгкой интеграции с другими сервисами HP DVLabs

Выводы

Рынок IPS-систем нельзя назвать спокойным. 2013 год принёс две важные сделки, способные внести серьёзные коррективы, как в российском, так и в мировом масштабе. Речь идёт о противостоянии двух «тандемов»: Cisco+Sourcefire против McAfee+Stonesoft. С одной стороны, Cisco удерживает стабильное первое место на рынке по количеству сертифицированных решений, а поглощение такой известной компании, как Sourcefire должно лишь укрепить заслуженное первое место. В то же время, поглощение Stonesoft, по сути, открывает для McAfee отличные возможности экспансии российского рынка, т.к. именно Stonesoft была первой зарубежной компанией, сумевшей получить на свои решения сертификат ФСБ (этот сертификат даёт гораздо больше возможностей, чем сертификат ФСТЭК).

К сожалению, отечественные производители пока не радуют бизнес, предпочитая развивать активность в сфере госзаказа. Такое положение вещей вряд ли положительно скажется на развитии этих решений, так как давно известно, что без конкуренции продукт развивается гораздо менее эффективно и, в конечном счёте, деградирует.