IPS/IDS — системы обнаружения и предотвращения вторжений и атак

В мире кибербезопасности существует множество угроз. Практика показывает, что большинство инцидентов происходит из-за отсутствия инструментов безопасности или их некорректной эксплуатации. В защите инфраструктуры могут помочь системы мониторинга и предотвращения атак — IPS/IDS. В статье мы расскажем, что это такое и как выбрать подходящую IDS/IPS-систему.

Что такое системы IPS/IDS

IPS/IDS — это системы обнаружения и предотвращения вторжений, которые отслеживают и останавливают:

Всё актуальное — в наших соцсетях. Подписывайтесь!

Телеграм ВКонтакте

• сетевые атаки,
• вредоносную активность.

Также иногда оба этих типа систем объединяют в один класс под названием IDPS (Intrusion Detection and Prevention Systems). Однако несмотря на сходство названий и функционала, они всё же имеют ряд отличий. Рассмотрим, чем отличается IPS от IDS:

• IDS (Intrusion Detection System) — это система обнаружения вторжений, которая производит мониторинг сети. Если она находит подозрительные действия, то оперативно сообщает о них администратору;
• IPS (Intrusion Prevention System) — система предотвращения вторжений. Она не только находит угрозу, но и блокирует ее в режиме реального времени.

Разница между IPS и IDS: ключевые аспекты

Самое главное отличие IPS от IDS — назначение. Иными словами, IDS отслеживает угрозу и предупреждает о ней, а IPS — отслеживает и оперативно блокирует. Однако разница состоит не только в назначении систем, но и в ряде деталей.

Пример параметра	IDS	IPS
Режим работы	Пассивный (Promiscuous). Работает в режиме «прослушивания» — то есть анализирует копию трафика	Активный (In-line). Работает «в разрыве» — то есть пропускает весь трафик через себя в режиме реального времени
Действие при обнаружении угрозы	Отправляет оповещение (Alert) администратору или в SIEM-систему	Блокирует: отбрасывает пакеты, разрывает соединения и блокирует IP-адреса
Влияние отказа системы на сетевой трафик	Не влияет. Отказ IDS не нарушит работу сети	Влияет напрямую. Сбой в IPS может привести к отказу в обслуживании легитимного трафика
Метод развертывания в сети	Подключается к зеркальному порту (SPAN) коммутатора и получает копию пакетов	Устанавливается на пути критического трафика, после чего все пакеты проходят через IPS
Основное преимущество	Безопасна для работы сети, не вызывает ложных отказов. Подходит для мониторинга, анализа и сбора данных об атаках	Обеспечивает активную защиту и предотвращает атаки до их начала
Слабая сторона	Обнаруживает нелегитимный трафик, когда он уже достиг цели	Ложные срабатывания и риск ошибочной блокировки легитимного трафика
Для чего применяется	Для мониторинга сетей, где обнаружить все угрозы важнее, чем получить ошибочную блокировку легальных операций. Также подходит для анализа исходящего трафика на предмет утечек данных	Для активной защиты критически важных сегментов на периметре сети

Архитектура IDS/IPS

Архитектура IDS/IPS состоит из трех ведущих компонентов:

1. Датчики.
2. Аналитические модули.
3. Панели управления.

Разберем каждый из них подробнее.

Датчики

Датчик (сенсор) — это специализированное устройство или программный модуль, который анализирует сетевой трафик или активность хоста и принимает решения: обнаружить или заблокировать.

Принцип работы датчика можно представить в виде своего рода конвейера, где обработка пакетов происходит поэтапно:

1. Сбор трафика:
   • аппаратный, при котором используются специальные сетевые карты с аппаратным ускорителем для DPI или использующие DPDK для скоростной обработки;
   • виртуальный, при котором используются драйверы виртуальных сетей для захвата трафика между виртуальными машинами.

2. Нормализация и предобработка. Для этого система дефрагментирует IP-пакеты, собирает TCP-потоки и нормализует заголовки.

3. Декодирование протоколов. Датчик содержит библиотеку декодеров для множества протоколов. Поэтому он может декодировать зашифрованный трафик, проанализировать его и зашифровать снова. Также сенсор может выступать в роли прокси — для этого на конечные точки нужно установить доверенный сертификат датчика.

4. Анализ данных при помощи соответствующего движка. Он работает параллельно по нескольким направлениям:
   • быстрые списки (pre-filters) — проверка IP или порта. Если IP или порт обнаруживается в черных списках, система максимально быстро блокирует его;
   • сигнатурный анализ — сравнение пакетов с базой шаблонов атак при помощи оптимизированных алгоритмов (например, Aho-Corasick);
   • пользовательские правила — создание собственных правил для поиска уникальных паттернов, которые характерны для конкретной инфраструктуры или угрозы. Это могут быть правила для содержимого пакетов (поиск строк, hex-последовательностей или регулярных выражений в теле пакета), контекстов и метаданных (комбинации условий на основе IP-адресов, портах, флагах протоколов, размере пакета и частоте событий);
   • поведенческий анализ — сравнение пакетов с профилем нормального поведения сети по ряду критериев: например, по объемам трафика, протоколам или хостам.
   • протокольный анализ — поиск аномалий в реализации протоколов, таких как нарушение RFC, подозрительные поля и многие другие.

5. Принятие и исполнение решений. На основе политик система решает, что делать с пакетом или сессией. После этого он выполняет действие в зависимости от типа:
   • IDS генерирует алерт,
   • IPS пропускает или отклоняет/блокирует пакет.

6. Передача события на менеджер или напрямую в SIEM-систему.

Аналитические модули

Аналитические модули отвечают за определение, вредоносный пакет или нет. Модули можно классифицировать по принципу их работы:

1. Модуль сигнатурного анализа (Signature-based Detection), который отвечает за сравнение наблюдаемой активности с базой известных шаблонов (сигнатур) атак. Он сканирует трафик или события, после чего ищет точное или частичное совпадение с сигнатурами.
2. Модуль поведенческого анализа обучается на сети или хосте в период затишья, после чего создает модель «нормального» поведения. Далее, опираясь на нее, он выявляет значительные отклонения.
3. Модуль анализа репутации в режиме реального времени проверяет атрибуты, такие как IP-адрес, домен, URL, хэш и многие другие. Для этого он использует внешние базы данных с «черными списками».
4. Модуль эвристического анализа ищет не точную сигнатуру, а комбинацию косвенных признаков атаки. Для этого он использует правила и алгоритмы для выявления подозрительного поведения, которое характерно для конкретного класса угроз.

Панели управления

Панель управления IDS/IPS — это специальное веб-приложение, которое предоставляет единую точку контроля для конфигурации, мониторинга, анализа и управления всеми компонентами распределенной системы. Панели управления IDS/IPS включают в себя следующие функции:

• агрегация данных от всех сенсоров и сбор разрозненных источников информации воедино;
• управление конфигурацией — настройка правил, политик, обновлений;
• визуальный мониторинг — дашборды, карты топологий, графики;
• аналитический движок — отслеживание корреляции событий, обогащение данными Threat Intelligence;
• рабочая среда для реагирования — управление инцидентами, автоматизированные сценарии;
• преобразование технических данных в формат, который будет пригоден для принятия решений аналитиками кибербезопасности.

Типы IPS/IDS-систем

Обычно IPS/IDS-системы принято классифицировать по месту их установки и объекту защиты. По этому признаку можно выделить два основных типа систем:

1. Сетевые системы.
2. Хостовые системы.

Разберем каждый из них подробнее.

Сетевые системы

Сетевые системы (Network-based) отвечают за защиту сегмента сети и анализируют входящий и исходящий трафик. К этой категории относятся системы NIDS (Network Intrusion Detection System) и NIPS (Network Intrusion Prevention System).

Сетевые системы прослушивают сетевые пакеты, после чего сравнивают их содержимое с базами сигнатур атак или шаблонами нормального поведения. Таким образом они защищают весь трафик, который проходит через контролируемую точку (например, интернет-канал или внутренняя сеть).

Преимущества сетевых систем:

• незаметность для атакующего — настроенная NIDS может быть скрыта;
• централизованная защита — это значит, что одна система защищает множество устройств одновременно;
• обнаружение DDoS-атак уровня L3 путем сканирования портов и выявления эксплойтов сетевых протоколов.

Недостатки сетевых IPS/IDS систем:

• сложность работы с зашифрованным трафиком — система поддерживает технологии SSL-инспекции, однако для этого потребуются дополнительные мощности и сложная настройка;
• риск потери пакетов в периоды пиковых нагрузок;
• слабая работа с прямыми атаками;
• ложноположительные срабатывания и ложноотрицательные результаты мониторинга.

Хостовые системы

Хостовые системы (Host-based) защищают отдельные устройства от атак, которые обошли сетевые средства защиты и начинают действовать внутри инфраструктуры. К этой категории относятся системы HIDS (Host-based Intrusion Detection System) и HIPS (Host-based Intrusion Prevention System).

Хостовые системы мониторят активность внутри системы, а также проверяют системные журналы, целостность критических файлов, запущенные процессы, сетевую активность хоста и попытки получения более высоких привилегий.

Преимущества хостовых систем:

• умение работать с зашифрованным трафиком — система срабатывает, когда трафик попал на хост и был дешифрован;
• высокий уровень детализации — система способна отслеживать все действия на хосте и оперативно реагировать в случае вторжения;
• максимальная эффективность против внутренних угроз и целевых атак.

Недостатки хостовых систем:

• необходимость установки на каждый защищаемый хост;
• влияние на производительность защищаемого хоста — требует дополнительных вычислительных ресурсов;
• сложность управления в масштабе крупной организации;
• зависимость от операционной системы и настроек приложений;
• собственная уязвимость. Если злоумышленник получит полный контроль над хостом, он может отключить HIDS/HIPS;
• непонимание сетевого контекста.

Как выбрать подходящую IDS/IPS-систему

Основательный подход к выбору IDS/IPS поможет повысить уровень информационной безопасности. Рекомендуем придерживаться следующего алгоритма:

1. Подготовка и аудит. В первую очередь проанализируйте собственную инфраструктуру, определите основные цели защиты и оцените ресурсы вашей организации.
2. Определение требований. Сформулируйте технические требования к системе, а также бизнес-требования — например, частота предоставления отчетов, соответствие 152-ФЗ и другие.
3. Выбор типа системы. При выборе лучше опираться на результаты, которые получены после выполнения шага 1. После этого составьте список из 3–5 наиболее подходящих вендоров.
4. Тестирование. Составьте план тестирования на конкретный временной отрезок (желательно от 30 дней и более) для каждого выбранного решения. Тестирование лучше проводить в изолированной среде на отдельной услуге. Например, на виртуальном сервере в Рег.облаке вы сможете развернуть тестовый стенд, имитировать сетевой трафик и оценить работу без затрат на физическое оборудование. По окончании тестирования оцените производительность каждого вендора по основным параметрам, таким как:
   • задержка (latency),
   • скорость обработки пакетов,
   • стабильность пропускной способности,
   • процент потерь пакетов.
5. Окончательный выбор поставщика услуг. Сравните результаты тестирования по каждому выбранному решению из шага 4. После этого закажите подходящую услугу.
6. Внедрение. Составьте пошаговый план внедрения и настройки новой системы. Переход лучше выполнять постепенно — так вы избежите длительного простоя и поможете работникам детальнее освоить новый инструмент.

Заключение

Системы обнаружения и предотвращения вторжений — мощный инструмент информационной безопасности для защиты активов компании. Однако добиться максимального уровня защиты можно, если использовать сетевые и хостовые системы вместе. Наиболее эффективным способом станет эшелонированная защита, когда несколько «слоев» закрывают слабые стороны друг друга.

Необязательно настраивать IPS/IDS на собственном оборудовании — можно воспользоваться готовыми предложениями от хостинг-провайдеров. Например, в Рег.облаке вы можете заказать облачные решения с круглосуточной поддержкой, которые соответствуют 152-ФЗ.