Системы предотвращения вторжений IPS

Использование мобильных и облачных вычислений, расширение способов доступа к корпоративным ресурсам и приложениям приводит к тому, что у корпоративной сети больше нет единой точки входа, и защиту сети необходимости развертывать как на границе, так и внутри сети.
Системы обнаружения и предотвращения вторжений в корпоративную сеть (Intrusion Detection System/Intrusion Prevention System - IDS/IPS) предназначены для  глубокого анализа сетевого трафика, выявления и предотвращения сетевых атак, несанкционированной сетевой активности. Обладая информацией обо всех сетевых потоках в реальном времени, системы IDS/IPS выделяют и реагируют на события, которые могут повлиять на ИТ-безопасность.

Современные IDS/IPS-системы позволяют:

  • спрогнозировать возможные атаки и выявить связанные с ними уязвимости;
  • обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
  • получить полезную информацию о проникновениях, которые имели место, c целью восстановления и корректирования вызвавших проникновение факторов;

Системы предотвращения вторжений IPS могут в автоматическом режиме блокировать сетевую атаку, например, путем обрыва соединения TCP/IP, или предотвратить атаку, например, удалив вредоносный код из передаваемых данных.

Обнаружение атак основано на двух основных методах:

  • анализе сигнатур (шаблонов, по которым определяют атаку),
  • анализе аномального поведения пользователей на основе статистических методов и сравнении характеристик сетевой активности с заданными пороговыми значениями.

Основными проблемами при внедрении систем IDS/IPS долгое время являлись большой процент ложных срабатываний и необходимость длительной тонкой настройки под конкретную сетевую среду, профили трафика.

Современные системы «следующего поколения» (Next Generation IPS – NG IPS) выступают в качестве единой платформы, объединяющей в себе преимущества традиционной IPS и новые возможности, такие как:

  • контроль и мониторинг приложений;
  • использование информации из дополнительных источников (глобальные базы уязвимостей, геолокация и т.п.);
  • анализ содержимого файлов;
  • автоматизация оценки влияния событий, настройки и управления политик;
  • анализ профилей сетевой активности и идентификация пользователей.

Системы IDS/IPS нового поколения обладают высоким уровнем автоматизации процессов облегчая работу администраторов и предоставляя рекомендации по защите от угроз, характерных в конкретной ИТ-инфраструктуре. 

McAfee Network Security Platform (NSP) - это система IPS нового поколения, которая задает новые стандарты обнаружения сложных угроз с помощью многоуровневых сигнатурных и без-сигнатурных технологий. Интеллектуальные алгоритмы идентификации характерных признаков и моделей угроз экономят время сотрудников ИБ. Автоматизация процессов реагирования на события позволяет быстро и точно устранить нарушения безопасности в сети.