Выявить и предупредить!

Защита информации – комплексная и многосторонняя задача, и ее решение требует разных подходов, инструментов и решений. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их, можно защититься от максимально большого спектра атак. Комбинация оптимальных с точки зрения защиты, затрат и удобства использования средств зависит от ценности информации, вероятности и типов угроз.

Современные технологии взлома и компрометации данных, а также социального инжиниринга не стоят на месте, и привычные пользователям антивирусные программы и фаейерволы не могут самостоятельно обеспечить достаточную защиту, предотвращая лишь ряд типовых угроз. Любую угрозу можно либо детектировать и предотвратить, либо устранить её потенциальный вред, но на практике почти всегда приходится сочетать оба подхода. Речь идёт о системах обнаружения и предупреждения вторжений (IDPS) и о криптографической защите данных. Чаще всего злоумышленники пытаются  скомпрометировать закрытый ключ, закрытый алгоритм, цифровой сертификат или учётные записи. Например, утечка зашифрованной информации не принесёт никакой пользы злоумышленникам, однако утечка или подмена ключей шифрования может быть равносильна компрометации или потере всей конфиденциальной информации.

Система обнаружения вторжений IDS (англ. Intrusion Detection System) – это программный или аппаратный комплекс, предназначенный для выявления неавторизованного доступа (сетевой атаки или вторжения) в рабочую среду или компьютерную сеть. IDS является дополнительным уровнем защиты системы и в зависимости от своего типа и назначения, может определять различные типы сетевых атак, появление вредоносного программного обеспечения, попытки неавторизованного доступа, открытие нового порта, несанкционированное повышение привилегий и т.д. Даже в случае полностью отлаженной системы защиты, мы не можем гарантировать отсутствие или появление новых уязвимостей, связанных с недоработками производителя ПО, в этом случае IDS может стать единственным решением.

Обычно IDS включает:

  • Сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой сети или системы;
  • Подсистему анализа, предназначенную для выявления сетевых атак и подозрительных действий;
  • Хранилище, в котором накапливаются первичные события и результаты анализа;
  • Консоль управления, позволяющая конфигурировать IDS, наблюдать за состоянием защищаемой системы и IDS, просматривать выявленные подсистемой анализа инциденты.

По способам мониторинга системы IDS обычно разделяют на две основные категории: NIDS и HIDS. Сетевые системы обнаружения вторжений (NIDS, от англ. Network intrusion detection system) – системы, занимающиеся анализом сетевого трафика по данным сенсоров, которые расположены в ключевых узлах сети.

Системы обнаружения вторжений на уровне хоста (HIDS, от англ. Host-based intrusion detection system) – системы, занимающиеся обнаружением вторжения, посредством специальной службы, анализирующей системные запросы, логи активности приложений, изменения файловой системы и другие процессы, происходящие на уровне хоста.

Системы IDS способны выявить практически любую угрозу, но для того чтобы сохранить целостность и конфиденциальность информации, необходимо эту угрозу нейтрализовать. Для этих целей используется комплекс IPS. Система предотвращения вторжений – IPS (англ. Intrusion Prevention System) –программное или аппаратное средство, осуществляющее мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности. По своим функциям и классификации аналогичны IDS. Главным отличием является то, что системы IPS способны функционировать в реальном времени, что позволяет в автоматическом режиме блокировать сетевые атаки. Системы IPS способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать сомнительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на базы данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов и переупорядочивание пакетов TCP для защиты от пакетов с измененными ACK и SEQ номерами. Каждая система IPS включает в себя модуль IDS.

Современные IDPS системы даже от таких лидеров рынка, как IBM или Check Point должны рассматриваться лишь как одно из необходимых но дополнительных средств в арсенале информационной безопасности, решение о применении которого зависит от типа защищаемой информации и инфраструктуры организации. Они не могут защитить от инсайдеров или методов социальной инженерии и для обеспечения близкой к абсолютной безопасности должны применяться совместно с аппаратными средствами криптографической защиты: шифрования данных, строгой аутентификации и управления ключами шифрования, например, производства Thales e-Security, что в обязательном порядке используется во всех банках и большинстве финансовых учреждений.