Выберите регион

Санкт-Петербург Ленинградская область Коми республика Архангельская область Вологодская область Мурманская область Новгородская область Псковская область Калининградская область Ненецкий автономный округ Крым республика Севастополь Днепропетровская область Алтайский край Минская область Чеченская республика Ханты-Мансийский автономный округ Карелия республика Марий Эл республика Самарская область Татарстан республика Тыва республика Ульяновская область Ямало-Ненецкий автономный округ Камчатский край город Киев Сахалинская область Еврейская автономная область Алтай республика Одесская область Амурская область Хабаровский край Витебская область Приморский край Саха (Якутия) республика Красноярский край Бурятия республика Брянская область Моголёвская область Дагестан республика Забайкальский край Карагандинская область Новосибирская область Калмыкия республика Астраханская область Кабардино-Балкарская республика Карачаево-Черкесская республика Адыгея республика Ингушетия республика Башкортостан республика Белгородская область Хакасия республика Ивановская область Северная Осетия - Алания республика Костромская область Мордовия республика Курская область Орловская область Смоленская область Калужская область Чувашская республика Челябинская область Иркутская область Поморский регион Кировская область Кемеровская область /Кузбас/ Краснодарский край Липецкая область город Клайпеда Тамбовская область Нижегородская область Омская область Оренбургская область Пензенская область Пермский край Ростовская область Рязанская область Саратовская область Ставропольский край Свердловская область Тюменская область Томская область Тульская область Тверская область Удмуртская республика Волгоградская область Воронежская область Ярославская область Московская область Москва

Фраза дня: Система обнаружения вторжений

9 октября 2021

Что такое система обнаружения вторжений (IDS)?
Система обнаружения вторжений (intrusion detection system - IDS) - это система, которая отслеживает сетевой трафик на предмет подозрительной активности и предупреждает об обнаружении такой активности.

Хотя обнаружение аномалий и составление отчетов являются основными функциями IDS, некоторые системы обнаружения вторжений способны предпринимать действия при обнаружении вредоносной активности или аномального трафика, включая блокировку трафика, отправляемого с подозрительных адресов Интернет-протокола (IP).

IDS можно противопоставить системе предотвращения вторжений (IPS), которая отслеживает сетевые пакеты на предмет потенциально опасного сетевого трафика, например IDS, но имеет основную цель - предотвращать обнаруженные угрозы, а не в первую очередь обнаруживать и регистрировать угрозы.

Как работают системы обнаружения вторжений?
Системы обнаружения вторжений используются для обнаружения аномалий с целью поимки хакеров до того, как они нанесут реальный ущерб сети. IDS могут быть как сетевыми, так и хостовыми. Система обнаружения вторжений на основе хоста устанавливается на клиентском компьютере, в то время как сетевая система обнаружения вторжений находится в сети.

Системы обнаружения вторжений работают либо путем поиска сигнатур известных атак, либо отклонений от нормальной активности. Эти отклонения или аномалии помещаются в стек и исследуются на уровне протокола и приложения. Они могут эффективно обнаруживать такие события, как сканирование рождественской елки и отравление системы доменных имен (DNS).

IDS может быть реализован как программное приложение, работающее на аппаратном обеспечении клиента, или как устройство сетевой безопасности. Также доступны облачные системы обнаружения вторжений для защиты данных и систем в облачных развертываниях.

Различные типы систем обнаружения вторжений
IDS бывают разных видов и обнаруживают подозрительные действия разными методами, в том числе следующими:

  • Система обнаружения сетевых вторжений (NIDS) развертывается в стратегической точке или точках внутри сети, где она может отслеживать входящий и исходящий трафик ко всем устройствам в сети и от них.
  • Система обнаружения вторжений хоста (HIDS) работает на всех компьютерах или устройствах в сети с прямым доступом как к Интернету, так и к внутренней сети предприятия. HIDS имеет преимущество перед NIDS в том, что она может обнаруживать аномальные сетевые пакеты, исходящие изнутри организации, или вредоносный трафик, который не удалось обнаружить NIDS. HIDS также может определять вредоносный трафик, исходящий от самого хоста, например, когда хост был заражен вредоносным ПО и пытается распространиться на другие системы.
  • Система обнаружения вторжений на основе сигнатур (SIDS) отслеживает все пакеты, проходящие по сети, и сравнивает их с базой данных сигнатур атак или атрибутов известных вредоносных угроз, что очень похоже на антивирусное программное обеспечение.
  • Система обнаружения вторжений на основе аномалий (AIDS) отслеживает сетевой трафик и сравнивает его с установленными базовыми показателями, чтобы определить, что считается нормальным для сети в отношении пропускной способности, протоколов, портов и других устройств. Этот тип часто использует машинное обучение для определения базовой и сопутствующей политики безопасности. Затем он предупреждает ИТ-команды о подозрительной активности и нарушениях политики. Обнаруживая угрозы с использованием широкой модели вместо конкретных сигнатур и атрибутов, метод обнаружения на основе аномалий улучшает ограничения методов на основе сигнатур, особенно при обнаружении новых угроз.

Исторически системы обнаружения вторжений подразделялись на пассивные и активные. Пассивная IDS, обнаруживающая вредоносную активность, генерирует предупреждения или записи в журнале, но не предпринимает никаких действий. Активная IDS, иногда называемая системой обнаружения и предотвращения вторжений (IDPS), будет генерировать предупреждения и записи в журнале, но также может быть настроена для выполнения действий, таких как блокировка IP-адресов или закрытие доступа к ограниченным ресурсам.

Snort - одна из наиболее широко используемых систем обнаружения вторжений - это открытый, бесплатный и легкий NIDS, который используется для обнаружения новых угроз. Snort может быть скомпилирован в большинстве операционных систем (ОС) Unix или Linux, а также доступна версия для Windows.

Возможности систем обнаружения вторжений
Системы обнаружения вторжений отслеживают сетевой трафик, чтобы определить, когда атака осуществляется неавторизованными объектами. IDS делают это, предоставляя специалистам по безопасности некоторые или все из следующих функций:

  • мониторинг работы маршрутизаторов, брандмауэров, серверов управления ключами и файлов, необходимых для других мер безопасности, направленных на обнаружение, предотвращение или восстановление после кибератак;
  • предоставление администраторам возможности настраивать, организовывать и понимать соответствующие контрольные журналы ОС и другие журналы, которые иначе трудно отследить или проанализировать;
  • предоставление удобного интерфейса, позволяющего неспециалистам помогать в управлении безопасностью системы;
  • включая обширную базу данных сигнатур атак, с которой можно сравнивать информацию из системы;
  • распознавание и сообщение о том, когда IDS обнаруживает, что файлы данных были изменены;
  • генерирование сигнала тревоги и уведомление о взломе системы безопасности; а также
  • реагируя на злоумышленников, блокируя их или блокируя сервер.

Преимущества систем обнаружения вторжений
Системы обнаружения вторжений предлагают организациям несколько преимуществ, начиная с возможности выявлять инциденты безопасности. IDS может использоваться для анализа количества и типов атак. Организации могут использовать эту информацию, чтобы изменить свои системы безопасности или внедрить более эффективные меры контроля. Система обнаружения вторжений также может помочь компаниям выявлять ошибки или проблемы с конфигурациями своих сетевых устройств. Затем эти показатели можно использовать для оценки будущих рисков.

Системы обнаружения вторжений также могут помочь предприятиям добиться соответствия нормативным требованиям. IDS позволяет компаниям лучше контролировать свои сети, облегчая соблюдение правил безопасности. Кроме того, предприятия могут использовать свои журналы IDS как часть документации, чтобы показать, что они соблюдают определенные нормативные требования.

Системы обнаружения вторжений также могут улучшить меры безопасности. Поскольку датчики IDS могут обнаруживать сетевые узлы и устройства, их также можно использовать для проверки данных в сетевых пакетах, а также для определения операционных систем используемых служб. Использование IDS для сбора этой информации может быть намного более эффективным, чем ручная перепись подключенных систем.

Проблемы систем обнаружения вторжений
IDS подвержены ложным срабатываниям или ложным срабатываниям. Следовательно, организациям необходимо настроить свои продукты IDS при их первой установке. Это включает в себя правильную настройку их систем обнаружения вторжений для распознавания того, как выглядит обычный трафик в их сети по сравнению с потенциально вредоносной активностью.

Однако, несмотря на вызываемую ими неэффективность, ложные срабатывания обычно не вызывают серьезного повреждения реальной сети и просто приводят к улучшениям конфигурации.

Гораздо более серьезная ошибка IDS - это ложноотрицательный результат, когда IDS пропускает угрозу и принимает ее за законный трафик. В случае ложноотрицательного сценария ИТ-команды не имеют никаких указаний на то, что происходит атака, и часто не обнаруживают ее до тех пор, пока сеть каким-либо образом не пострадала. Для IDS лучше быть сверхчувствительной к ненормальному поведению и генерировать ложные срабатывания, чем быть недостаточно чувствительной, генерируя ложноотрицательные.

Ложноотрицательные результаты становятся все более серьезной проблемой для IDS, особенно для SIDS, поскольку вредоносные программы развиваются и становятся все более сложными. Обнаружить подозрительное вторжение сложно, потому что новое вредоносное ПО может не отображать ранее обнаруженные образцы подозрительного поведения, для обнаружения которых обычно предназначены IDS. В результате IDS все чаще должны обнаруживать новое поведение и заблаговременно выявлять новые угрозы и способы их уклонения.

IDS против IPS
IPS похожа на систему обнаружения вторжений, но отличается тем, что IPS может быть настроена для блокирования потенциальных угроз. Подобно системам обнаружения вторжений, IPS могут использоваться для мониторинга, регистрации и составления отчетов о действиях, но их также можно настроить для предотвращения угроз без участия системного администратора. IDS просто предупреждает о подозрительной активности, но не предотвращает ее.

IPS обычно располагается между брандмауэром компании и остальной частью ее сети и может блокировать попадание любого подозрительного трафика в остальную сеть. Системы предотвращения вторжений реагируют на активные атаки в режиме реального времени и могут активно ловить злоумышленников, которых могут пропустить брандмауэры или антивирусное программное обеспечение.

Однако организациям следует быть осторожными с IPS, потому что они также могут быть подвержены ложным срабатываниям. Ложное срабатывание IPS, вероятно, будет более серьезным, чем ложное срабатывание IDS, потому что IPS препятствует прохождению легитимного трафика, тогда как IDS просто помечает его как потенциально вредоносный.

Для большинства организаций стало необходимостью иметь либо IDS, либо IPS - а обычно и то и другое - как часть своей структуры управления информацией и событиями безопасности (SIEM).

Несколько поставщиков интегрируют IDS и IPS в один продукт, известный как единое управление угрозами (UTM), что позволяет организациям одновременно внедрять их вместе с межсетевыми экранами и системами в свою инфраструктуру безопасности.