Сістэма выяўлення ўварванняў (IDS)падобны да разведчыка ў сетцы, асноўная функцыя якога — выяўляць паводзіны ўварванняў і адпраўляць сігнал трывогі. Кантралюючы сеткавы трафік або паводзіны хоста ў рэжыме рэальнага часу, ён параўноўвае зададзеную «бібліятэку сігнатур атак» (напрыклад, вядомы вірусны код, шаблон атакі хакера) з «нармальным базавым узроўнем паводзін» (напрыклад, звычайная частата доступу, фармат перадачы дадзеных) і неадкладна запускае сігнал трывогі і запісвае падрабязны журнал, як толькі выяўляецца анамалія. Напрыклад, калі прылада часта спрабуе ўзламаць пароль сервера метадам грубай сілы, IDS ідэнтыфікуе гэты анамальны шаблон уваходу, хутка адправіць папярэджанне адміністратару і захавае ключавыя доказы, такія як IP-адрас атакі і колькасць спроб, для забеспячэння падтрымкі для наступнага адсочвання.
У залежнасці ад месца разгортвання, сістэмы ўцечкі выяўлення ўразлівасці можна падзяліць на дзве катэгорыі. Сеткавыя сістэмы ўцечкі выяўлення ўразлівасці (NIDS) разгортваюцца ў ключавых вузлах сеткі (напрыклад, шлюзах, камутатарах) для маніторынгу трафіку ўсяго сегмента сеткі і выяўлення міжпрыладных атак. Сістэмы ўцечкі выяўлення ўразлівасці мэйнфрэймаў (HIDS) усталёўваюцца на адным серверы або тэрмінале і сканцэнтраваны на маніторынгу паводзін канкрэтнага хаста, напрыклад, змянення файлаў, запуску працэсаў, занятасці партоў і г.д., што дазваляе дакладна фіксаваць узлом на адной прыладзе. Аднойчы платформа электроннай камерцыі выявіла анамальны паток дадзеных праз NIDS — вялікая колькасць карыстальніцкай інфармацыі масава загружалася з невядомага IP-адраса. Пасля своечасовага папярэджання тэхнічная каманда хутка выправіла ўразлівасць і пазбегла ўцечкі дадзеных.
Прыкладанне Mylinking™ Network Packet Brokers у сістэме выяўлення ўварванняў (IDS)
Сістэма прадухілення ўварванняў (IPS)з'яўляецца "вартаўніком" у сетцы, што павялічвае здольнасць актыўна перахопліваць атакі на аснове функцыі выяўлення IDS. Пры выяўленні шкоднаснага трафіку ён можа выконваць аперацыі блакавання ў рэжыме рэальнага часу, такія як адключэнне анамальных злучэнняў, скіданне шкоднасных пакетаў, блакіроўка IP-адрасоў атакі і гэтак далей, не чакаючы ўмяшання адміністратара. Напрыклад, калі IPS ідэнтыфікуе перадачу ўкладання электроннай пошты з характарыстыкамі віруса-вымагальніка, ён неадкладна перахоплівае ліст, каб прадухіліць трапленне віруса ва ўнутраную сетку. Перад тварам DDoS-атак ён можа адфільтраваць вялікую колькасць падробленых запытаў і забяспечыць нармальную працу сервера.
Абарона сістэмы абароны ад небяспекі (IPS) грунтуецца на «механізме рэагавання ў рэжыме рэальнага часу» і «інтэлектуальнай сістэме абнаўлення». Сучасныя сістэмы абароны ад небяспекі рэгулярна абнаўляюць базу дадзеных сігнатур атак, каб сінхранізаваць найноўшыя метады хакерскіх атак. Некаторыя высакаякасныя прадукты таксама падтрымліваюць «аналіз і навучанне паводзін», якія могуць аўтаматычна вызначаць новыя і невядомыя атакі (напрыклад, эксплойты нулявога дня). Сістэма IPS, якая выкарыстоўваецца фінансавай установай, выявіла і заблакавала атаку SQL-ін'екцый з выкарыстаннем нераскрытай уразлівасці, прааналізаваўшы анамальную частату запытаў да базы дадзеных, прадухіліўшы падробку асноўных дадзеных транзакцый.
Нягледзячы на падобныя функцыі, IDS і IPS маюць ключавыя адрозненні: з пункту гледжання ролі, IDS — гэта «пасіўны маніторынг + абвестка» і не ўмешваецца непасрэдна ў сеткавы трафік. Ён падыходзіць для сцэнарыяў, якія патрабуюць поўнага аўдыту, але не хочуць уплываць на сэрвіс. IPS расшыфроўваецца як «актыўная абарона + перапынак» і можа перахопліваць атакі ў рэжыме рэальнага часу, але павінен гарантаваць, што не будзе няправільна ацэньваць звычайны трафік (ілжывыя спрацоўванні могуць выклікаць перабоі ў абслугоўванні). У практычным ужыванні яны часта «супрацоўнічаюць» — IDS адказвае за маніторынг і ўсебаковае захаванне доказаў для дапаўнення сігнатур атак для IPS. IPS адказвае за перахоп у рэжыме рэальнага часу, выяўленне пагроз абароны, скарачэнне страт, выкліканых атакамі, і фарміраванне поўнага замкнёнага цыкла бяспекі «выяўленне-абарона-адсочванне».
Сістэмы выяўлення і абароны ад небяспекі (IDS/IPS) адыгрываюць важную ролю ў розных сцэнарыях: у хатніх сетках простыя магчымасці IPS, такія як перахоп атак, убудаваныя ў маршрутызатары, могуць абараніць ад распаўсюджаных сканаванняў партоў і шкоднасных спасылак; у карпаратыўнай сетцы неабходна разгарнуць прафесійныя прылады IDS/IPS для абароны ўнутраных сервераў і баз дадзеных ад мэтанакіраваных атак. У сцэнарыях хмарных вылічэнняў воблачныя сістэмы IDS/IPS могуць адаптавацца да эластычна маштабуемых хмарных сервераў для выяўлення анамальнага трафіку паміж арандатарамі. З пастаянным удасканаленнем метадаў хакерскіх нападаў IDS/IPS таксама развіваецца ў кірунку «інтэлектуальнага аналізу з дапамогай штучнага інтэлекту» і «выяўлення шматмернай карэляцыі», што яшчэ больш паляпшае дакладнасць абароны і хуткасць рэагавання сеткавай бяспекі.
Прыкладанне Mylinking™ Network Packet Brokers у сістэме прадухілення ўварванняў (IPS)
Час публікацыі: 22 кастрычніка 2025 г.
