Что такое служба обнаружения вторжений (IDS) и система предотвращения вторжений (IPS)?
Что такое служба обнаружения вторжений (IDS) и система предотвращения вторжений (IPS)?
Обнаружение вторжений — это процесс мониторинга происходящих в вашей сети событий и их анализа на наличие признаков возможных инцидентов, нарушений или прямых угроз политике безопасности. Профилактика вторжения — это процесс обнаружения вторжений и остановка выявленных инцидентов. Эти меры безопасности доступны в виде служб обнаружения вторжений (IDS) и систем предотвращения вторжений (IPS), внедренных в вашу сеть для обнаружения и устранения потенциальных инцидентов.
Какие проблемы помогают решить службы обнаружения вторжений и системы предотвращения вторжений
Стандартная бизнес-сеть имеет несколько точек доступа к другим общедоступным и частным сетям. Сложность заключается в том, чтобы, с одной стороны, обеспечить безопасности этих сетей, а с другой стороны, чтобы они оставались открытыми для клиентов. В настоящее время атаки настолько изощренные, что они могут противостоять лучшим системам безопасности, в особенности тем, принцип работы которых основан на предположении, что сети могут быть защищены с помощью шифрования или межсетевых экранов. К сожалению, для защиты от современных атак недостаточно одних этих технологий.
Что можно делать с помощью служб обнаружения вторжений и систем предотвращения вторжений?
Службы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) постоянно отслеживают вашу сеть, выявляют возможные инциденты и фиксируют информацию о них, останавливают инциденты и уведомляют о них администраторов службы безопасности. Помимо этого, некоторые сети используют службы обнаружения вторжений и системы предотвращения вторжений для выявления проблем с политикой безопасности и защиты физических лиц от нарушения политики безопасности. Службы обнаружения вторжений и системы предотвращения вторжений стали неотъемлемой частью инфраструктуры безопасности, поскольку они могут остановить злоумышленников и одновременно собрать информацию о вашей сети.
Принципы работы службы обнаружения вторжений
Обычно служба обнаружения вторжений выявляет инциденты тремя методами.
- Сигнатурный метод обнаружения угроз — сравнение сигнатур с наблюдаемыми событиями для выявления возможных инцидентов. Это самый простой метод обнаружения, поскольку он сравнивает только текущую единицу деятельности (например, пакет или запись журнала) с помощью операций сравнения строк.
- Обнаружение аномалий — сравнения определения того, что считается нормальной активностью, с наблюдаемыми событиями для выявления значительных отклонений. Этот метод обнаружения может быть очень эффективным для выявления ранее неизвестных угроз.
- Анализ протокола состояний — сравнение предварительно определенных профилей общепринятых определений для применения в каждом состоянии протокола с наблюдаемыми событиями для выявления отклонений.
Внедрение устройств Juniper Networks
Компания Juniper Networks использует для служб обнаружения и предотвращения вторжений (IDP) шлюзы служб серии SRX. Вы можете выборочно применять разнообразные методы выявления и предотвращения атак на трафик в сетевом трафике, проходившем через устройство серии SRX. Вы можете установить правила политики в соответствии с секцией трафика на основе зоны, сети или приложения, а затем принимать активные или пассивные меры предотвращения в отношении трафика. Устройство серии SRX содержит полный набор сигнатур системы предотвращения вторжений для защиты сетей от атак. Компания Juniper Networks регулярно обновляет предустановленную базу данных атак. Устройство серии SRX может пересылать данные о записи пакетов (PCAP) из собственного трафика в программу Juniper Secure Analytics (JSA) посредством комбинированного протокола PCAP Syslog.
