Application Intelligence: между межсетевым экраном и IDS
|
| Хотя модуль и не является системой обнаружения нападений (IDS), он построен по схожей идеологии, то есть требует постоянного обновления базы сигнатур атак, а значит подписка на обновления становится практически обязательной |
Компания Check Point объявила о разработке технологии Application Intelligence, которая станет составной частью продуктов Check Point Next Generation. Новая технология предназначена для отражения атак на конкретные приложения, позволяя учитывать для этого поведение программ. Ко всем вновь проданным продуктам Check Point будет бесплатно прилагаться соответствующий модуль, а клиентам, купившим их ранее, придется устанавливать новый модуль через обновления.
Суть сетевого контроля за поведением программ, реализованного в продукции Check Point, состоит в выявлении необычного использования сетевых протоколов. В частности, новые возможности предполагают проверку проходящего трафика на соответствие стандартам и правильное использование протоколов. С помощью специальных сигнатур продукты Check Point выделяют подозрительные сетевые пакеты и анализируют сеансы по ним. Причем, если раньше межсетевые экраны не проверяли, что передают «наружу» корпоративные программы, то сейчас такой контроль ведется, и как только замечена передача информации необычного типа (например, бинарных данных или больших заголовков), то такие сеансы тут же блокируются. При этом Application Intelligence не разбирается глубоко в сущности протоколов, как это делают IDS, а просто контролирует значительные отклонения в использовании сетевых протоколов. В результате при установке такого компонента требования к аппаратной платформе заметно не увеличиваются.
Компания Check Point, выпуская Application Intelligence, планирует дать своим клиентам возможность защититься от наиболее популярных на сегодняшний день типов нападений — атак на уровне приложений.
Такие нападения используют ошибки в приложениях и посылают им необычные наборы данных.
Именно за такими аномалиями и следят компоненты Application Intelligence, причем как во входящем потоке пакетов (от нападающего), так и в исходящем (к нападающему), то есть межсетевой экран Check Point может заметить уже произошедшее нападение и блокировать его.