Программные или программно-аппаратные системы обнаружения и/или предотвращения вторжений (Intrusion Detection System / Intrusion Prevention System, IDS/IPS или IDPS) — один из важнейших элементов систем информационной безопасности сетей любого современного предприятия. Рост числа проблем, связанных с ИБ, привел к тому, что такие системы очень быстро стали ключевым компонентом любой стратегии сетевой защиты.
Задача IDPS — пресекать попытки несанкционированного сетевого доступа, атаки внешних хакеров или инсайдеров, а также предотвращать возможный ущерб, который вредоносные программы могут нанести корпоративным ИТ-системам. Для этого применяются различные методы выявления аномальной сетевой активности, попыток изменения полномочий доступа к корпоративным ресурсам или конфиденциальным данным, использования уязвимостей в программном обеспечении и пр. Системы IDPS должны обладать следующими основными функциями:
- выявление вторжений или сетевых атак;
- предотвращение вторжений и атак;
- автоматическое блокирование сетевых атак;
- недопущение дальнейшего развития сетевых атак;
- определение источников атак;
- прогнозирование возможных атак;
- выявление уязвимостей и контроль безо-пасности;
- сбор данных для предотвращения атак и устранения их последствий;
- документирование существующих угроз.
ВИДЫ IDPS
Такие системы включают в себя модули сбора, хранения и анализа событий, модули мониторинга, управления, настройки и администрирования, используют базы данных об уязвимостях и репутационные сервисы, но могут различаться типом сенсоров и механизмами анализа событий. Функционируют они на уровне сети или на уровне отдельного сервера.
Физически IDPS могут представлять собой либо устройства, в том числе многофункциональные межсетевые экраны нового поколения (NGFW) и комплексные системы безопасности (UTM), либо виртуальные машины или программный продукт. Они могут использоваться как на площадке заказчика, так и в виртуальных средах провайдеров или публичных облаках.
Осуществляя глубокий анализ протоколов и корреляцию событий, IDPS работают в режиме реального времени, оказывая минимальное влияние на пропускную способность и задержки в сети. Они часто применяются для проверки трафика, который уже прошел через устройства защиты периметра сети — межсетевые экраны и шлюзы безопасности.
Выделенные IDPS устанавливаются в разных местах: за межсетевым экраном как дополнительный уровень защиты, за контроллером доставки приложений (балансировщиком нагрузки) для проверки трафика, а также в различных точках корпоративной сети для защиты внутренних активов.
МЕТОДЫ ОБНАРУЖЕНИЯ
Обнаружить вторжение можно несколькими способами: например, по сигнатурам и аномалиям протокола, с применением различных методов аналитики, с помощью мониторинга, эвристических методов, выявления аномального поведения, посредством усовершенствованных методов защиты от угроз (Advanced Threat Defense, ATD) и анализа угроз (Threat Intelligence, TI). Эти продвинутые методы расширяют возможности IDPS и одновременно помогают сократить число предупреждений и ложных срабатываний (см. рис. 1).
Рис. 1. IDPS нового поколения используют усовершенствованные механизмы анализа протоколов и контроля приложений, методы проверки идентичности и оценки уязвимостей, а также репутационные сервисы |
Анализ на соответствие сигнатурам получил широкое распространение, но не всегда эффективен: для его применения может потребоваться предварительная обработка трафика, а если для атаки используется уязвимость «нулевого дня», то сигнатуры оказываются бесполезными.
Один из более прогрессивных методов — автоматическое обучение на основе анализа поведения пользователя. Сначала, основываясь на накапливаемых данных, система строит модель нормального поведения, а затем отслеживает отклонения от нее. Поскольку модель поведения пользователя нестатична, необходимо постоянное обучение.
Системы нового поколения (NGIDPS) функционируют в режиме реального времени, осуществляют мониторинг приложений, могут задействовать сторонние базы сигнатур и уязвимостей. Инновации в данной области фокусируются также на продвинутой аналитике и поддержке публичных облаков.
NGIDPS работают на уровне приложений, используют информацию из разных источников для принятия решений о блокировке трафика, анализируют выполняемые и другие типы файлов, а гибкий движок позволяет задействовать новые источники информации и методы обнаружения вторжений. Например, такие дополнительные методы, как расширенная аналитика поведения (User and Entity Behavior Analytics, UEBA), служат для обнаружения угроз, которые не были выявлены другими системами защиты. Подобные механизмы обнаружения аномального поведения используют в своих продуктах Hillstone Networks и McAfee. К числу новых возможностей относится также аналитика событий безопасности или собираемых в сети данных телемет-рии (например, IDPS Trend Micro).
Еще одна тенденция — интеграция IDPS со службами интеллектуального анализа угроз и реагирования на инциденты (пример — продукты Cisco, FireEye), использование репутационных сервисов (NSFOCUS). Интеграция со службами предотвращения угроз позволяет наделить IDPS интеллектуальными функциями выявления вредоносного ПО. Новейшие системы используют эвристические методы, применяют для обработки событий алгоритмы искусственного интеллекта и машинного обучения (Alert Logic), что улучшает их способность обнаруживать угрозы и инциденты.
ЭВОЛЮЦИЯ IDPS: ОТРАСЛЕВЫЕ ТЕНДЕНЦИИ
Разработчики продолжают совершенствовать системы IDPS, чтобы повысить их эффективность и уменьшить число ложных срабатываний. Согласно прогнозам Gartner, к концу 2020 года 60% IDPS будут снабжены аналитическими методами, в частности, речь идет о машинном обучении и анализе поведения пользователей и сетевых элементов (сегодня такими возможностями обладают менее 10% систем).
Функции обнаружения и предотвращения вторжений все в большей степени передаются межсетевым экранам (NGFW), но, несмотря на такую тенденцию (см. рис. 2), IDPS пока обеспечивают лучшую эффективность обнаружения и централизованное выполнение функций пре-дупреждения, обнаружения вторжений и ответных действий в сети.
Рис. 2. Межсетевой экран PA 3020 компании Palo Alto включает в себя систему предотвращения вторжений, а также средства борьбы с вредоносным ПО, анализа трафика и фильтрации содержимого |
Ряд производителей предлагают IDPS не только как физические устройства для локального развертывания, но и в виде виртуальных машин, развертываемых в облачных средах; в числе таких продуктов — Alert Logic и Venustech. По прогнозу Gartner, к концу 2020 года 70% новых автономных систем обнаружения и предотвращения вторжений будут размещаться не традиционно, за межсетевым экраном, а в облаке (публичном или частном).
Например, облачные сервисы IDPS уже предоставляют Alert Logic, FireEye, Cisco и McAfee. Их решения могут развертываться в облаке как ВМ. Ряд производителей предлагают IDPS для Amazon Web Services (AWS) и Microsoft Azure.
Рис. 3. Аппаратная платформа FirePOWER 9300 способна выполнять множество задач сетевой безопасности (от FW и VPN до борьбы с вредоносным кодом и отражением DDoS) на скоростях в сотни гигабит |
Комбинирование применяемых в IDPS методов помогает разработчикам преодолевать недостатки каждого из них. Актуальным направлением остается повышение производительности алгоритмов для улучшения соотношения качество обнаружения / скорость срабатывания.
Параллельно идет работа над точностью алгоритмов для уменьшения числа ложных срабатываний.
ОСНОВНЫЕ ПРОИЗВОДИТЕЛИ НА МИРОВОМ РЫНКЕ IDPS
Ведущие производители IDPS перечислены в отчете Gartner (Magic Quadrant for Intrusion Detection and Prevention Systems, январь 2018 года). За последние семь лет ситуация несколько изменилась. Если ранее явными лидерами были McAfee, Sourcefire и HP, то теперь эти позиции, наряду с McAfee, прочно занимают Cisco и Trend Micro.
Рис. 4. Производительность IDPS от Trend Micro серии TX составляет 40 Гбит/с на шасси 1U, что является одним из ведущих показателей |
Полный список ведущих производителей IDPS, по версии Gartner, выглядит так:
- Лидеры: Cisco, Trend Micro, McAfee.
- Претенденты: FireEye, Alert Logic, NSFOCUS.
- Нишевые компании: Venustech, Hillstone Networks.
- Провидцы: Vectra Networks.
СДЕЛАНО В РОССИИ: ПРИМЕРЫ ОТЕЧЕСТВЕННЫХ IDPS
Ситуацию на мировом рынке нельзя без корректировки экстраполировать на российский рынок, где работают местные производители, а некоторые зарубежные решения непопулярны или не представлены вовсе. Да и сертифицированные ФСТЭК и ФСБ системы, известные в других странах, можно пересчитать по пальцам.
Согласно ФСТЭК России, IDPS делятся на шесть классов защиты. Они различаются уровнем информационных систем и обрабатываемой информацией (персональные данные, конфиденциальные сведения, гостайна). По классификации ФСБ этот вид устройств относится к системам обнаружения атак СОА, которые делятся на четыре класса — от Г до А, при этом каждый последующий класс включает в себя все функции предыдущих.
Пять-семь лет назад на рынке присутствовали три российских решения IPS: «Аргус», «Форпост» и «РУЧЕЙ-М» (последнее можно отнести к IPS лишь условно),?— а также сертифицированный межсетевой экран «РУБИКОН» компании «Эшелон». Сегодня такие системы предлагают около десятка российских производителей, но большинство из них — комплексные, многофункциональные решения, в которых IDPS является одной из подсистем.
Например, Group-IB и АМТ ГРУП создали интегрированное решение (см. рис. 5), позволяющее разделять сетевые сегменты, анализировать внутренний трафик, проверять любую подозрительную активность, выявлять и пресекать попытки проникновения в изолированные сегменты сети или компрометации данных. Аналитическая система постоянно контролирует ситуацию.
Рис. 5. Система Group-IB и «АМТ ГРУП» объединяет продукты Group-IB Threat Detection System (TDS) и InfoDiode от «АМТ-ГРУП», защищая критичные сегменты локальной сети |
В другом российском комплексном решении по сетевой безопасности — Traffic Inspector компании «СМАРТ-СОФТ» — реализован целый набор функций (организация доступа, контроль и учет трафика, правила, межсетевой экран, прокси-сервер, антивирусная защита, управление загрузкой канала, блокировка рекламы, сайтов и спама). Многоуровневая система безопасности обеспечивает сетевую защиту от внешних атак с помощью межсетевого экрана, уникальной системы оповещения о чрезмерной сетевой активности с последующей блокировкой, запрета доступа к вредоносным ресурсам, защиты от вирусов почтового и Web-трафика.
Централизованный комплекс для обеспечения безопасности сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ «КОНТИНЕНТ» 3.7 компании «Код Безопасности» предназ-начен для защиты периметра сети, объединения филиалов предприятия в виртуальную частную сеть (VPN), организации защищенного удаленного доступа и обнаружения вторжений (см. рис. 6).
Рис. 6. Архитектура решения «КОНТИНЕНТ» 3.7 компании «Код Безопасности» |
Система обнаружения атак «Форпост» (см. рис. 7) нацелена на автоматическое выявление воздействий на информационную систему, которые могут быть классифицированы как компьютерные атаки или вторжения, и блокирование развития выявленных компьютерных атак. Она анализирует трафик на уровнях 2–7 на скоростях до 7 Гбит/с.
Dionis DPS разработки компании «Фактор-ТС» (см. рис. 8) выполняет функции маршрутизатора и межсетевого экрана, имеет в своем составе средства криптографической защиты информации (СКЗИ). Это позволяет решать задачи разной степени сложности — от предоставления безопасного доступа в Интернет сотрудникам компании до объединения множества филиалов предприятия в единую защищенную сеть с системой обнаружения и предотвращения вторжений.
Рис. 8. Защитный комплекс Dionis DPS-4000 позволяет замещать импортные аналоги в критически важных для безопасности страны сегментах национальной информационной структуры |
Dionis DPS имеет сертификат ФСТЭК на межсетевой экран типа «А» 2-го класса защиты и на IDS уровня сети 2-го класса защиты. Система обнаружения/предотвращения вторжений реализована на базе движков Snort и Suricata с возможностью локального и удаленного обновления правил.
IDPS НА БАЗЕ OPEN SOURCE
Свободно распространяемые системы обнаружения вторжений, такие как Snort, популярны как у российских, так и зарубежных разработчиков IDPS, включая Cisco. В последнее время несколько российских компаний стали использовать Snort в качестве основы для собственных систем обнаружения вторжений, сертифицируемых в ФСТЭК или ФСБ.
В большинстве отечественных разработок применяются готовые к использованию инструменты и решения: движки Snort, Suricata, Bro, готовые сборки Security Onion, интерфейсы Snorby, Squil, BASE, Aanval, Squert, наборы правил Talos/VRT, Emerging Threats, а также SEIM OSSIM и Splunk.
Snort — бесплатная система обнаружения вторжений, позволяющая самостоятельно создавать правила для обнаружения атак. Язык описания сигнатур Snort стал стандартом де-факто для многих систем обнаружения вторжений, которые применяют его в своих движках.
Suricata — это тоже IDPS с открытым исходным кодом. Основное отличие Suricata от Snort — возможность использования GPU (графического процессора) в режиме IDS, более продвинутая система IPS, многозадачность и, как следствие, высокая производительность, позволяющая обрабатывать трафик со скоростью до 10 Гбит/с на обычном оборудовании. Подобно Snort, Suricata состоит из нескольких модулей: захват, сбор, декодирование, обнаружение и вывод. Помимо уникальных наработок, в продукте используются практически все функции Snort, в том числе полностью поддерживаются форматы правил.
Преимущества ПО с открытым исходным кодом известны. Это низкая стоимость, отсутствие привязки к оборудованию производителя, гибкие возможности адаптации под конкретные потребности. Но компании придется содержать собственных разработчиков и приобрести необходимое оборудование.
С другой стороны, покупая коммерческое решение, заказчик получает гарантии производителя, возможность обновления программных компонентов, определенный уровень технического сопровождения и гарантированное время реагирования в случае сбоя в работе системы. Однако коммерческие решения не всегда адаптируются под нужды заказчика, а полное удовлетворение всем требованиям увеличивает их стоимость. Что касается автономных IDPS, то, согласно прогнозам Gartner, этот рынок начнет сокращаться: данная технология будет переноситься на новые платформы и форм-факторы, в публичные и частные облака.
Сергей Орлов, независимый эксперт (sorlov1958@yandex.ru)