Цифровизация бизнес-процессов принесла с собой не только удобство, но и новые вызовы. Сегодня любая уважающая себя компания хранит данные о клиентах, сотрудниках, финансах, исследованиях и разработках в электронном виде. Однако вся эта информация представляет колоссальную ценность и большой соблазн для злоумышленников. Хакеры постоянно улучшают свои подходы и все более успешно находят лазейки даже в самых современных системах защиты данных, чтобы добраться до корпоративных секретов и персональной информации. Даже один успешный взлом может обернуться для компании непоправимыми финансовыми потерями, репутационным ущербом и даже судебными исками со стороны клиентов и государства.
Чтобы обезопасить себя, организации внедряют системы обнаружения и предотвращения вторжений (IDS/IPS). Эти решения служат “цифровыми стражами”, которые постоянно анализируют происходящее в корпоративных сетях и данных на предмет атак. При появлении малейших признаков угрозы они мгновенно реагируют: блокируют атаку, оповещают ИБ-специалистов, останавливают утечку данных. Без IDS/IPS обеспечить надежную защиту критической информации сегодня практически невозможно.
В этой статье мы поговорим об IDS/IPS, рассмотрим принципы их работы и преимущества — как отдельных, так и комбинированных решений. А также дадим рекомендации по их развертыванию для максимальной защиты корпоративных данных от угроз.
Основы IDS
Чтобы обезопасить компанию от кибератак, недостаточно просто поставить межсетевой экран и антивирус. Хакеры способны обойти эти защитные меры, используя новейшие методы и недокументированные уязвимости. Чтобы успеть заметить и остановить взлом на ранней стадии, нужен дополнительный инструмент.
Таким инструментом являются системы обнаружения вторжений, сокращенно IDS. Это программные или аппаратные решения, которые постоянно анализируют все происходящее в корпоративных системах и сети. Их цель — выявлять любые отклонения от штатной работы, которые могут указывать на кибератаку.
Для этого IDS сравнивают текущую ситуацию с образцами нормального и аномального поведения. Например, большое количество запросов на передачу данных из базы за пределы компании — явный признак утечки. Или внезапное появление нового пользователя в домене — возможная попытка взлома.
Существует три основных типа IDS:
- Сетевые IDS устанавливаются на границах сети и анализируют весь проходящий трафик на предмет вредоносной активности. Они работают на уровне сетевых пакетов и способны выявлять такие угрозы, как сканирование портов, DDoS-атаки, вредоносные скрипты.
- Хостовые IDS функционируют на отдельных серверах, рабочих станциях или устройствах. Они отслеживают активность внутри конкретной системы: изменения файлов, запуск процессов, попытки доступа. Позволяют обнаружить взломанные аккаунты, внедрение вредоносного ПО.
- Прикладные IDS специализируются на отдельных сервисах и приложениях. Например, СУБД, веб-серверы, почтовые системы. Они выявляют атаки, специфичные для данного ПО: SQL-инъекции, XSS, взлом сессий.
Как только IDS замечают подобную аномалию, они поднимают тревогу. Оповещают ИТ-специалистов, чтобы те смогли проанализировать инцидент и принять меры. Таким образом, IDS позволяют быстро выявлять и блокировать атаки на ранних этапах. Это надежно защищает данные от утечек и взломов.
Основы IPS
IDS и IPS — это родственные технологии, которые, однако, имеют важные различия.
Системы обнаружения вторжений (IDS) предназначены исключительно для мониторинга и выявления вредоносной активности в корпоративных системах. При этом IDS пассивны — они лишь поднимают тревогу при обнаружении угрозы.
Системы предотвращения вторжений (IPS) идут на шаг дальше — они активно блокируют обнаруженные атаки. Как только IPS выявляют вредоносный трафик или поведение, они применяют техники для его остановки:
- Фильтрация пакетов, блокировка IP-адресов и протоколов.
- Разрыв подозрительных сетевых соединений.
- Завершение процессов и приложений, связанных с атакой.
- Изменение прав доступа подвергшегося компрометации аккаунта.
Системы предотвращения вторжений используют два основных механизма для активного пресечения атак:
- Правила блокировки трафика. IPS можно настроить на фильтрацию сетевых пакетов по заданным критериям. Например, заблокировать весь трафик из подозрительных IP-адресов или в определенный порт. Это позволяет остановить такие атаки, как сканирование уязвимостей, DDoS, заражение вредоносным ПО.
- Режим глубокого анализа пакетов (Deep Packet Inspection). IPS изучают не только заголовки, но и содержимое сетевых пакетов в поисках вредоносного кода. При обнаружении, например, эксплоита или шелл-кода трафик блокируется. Это эффективно против изощренных атак нулевого дня, которые маскируются под легитимные запросы.
Кроме того, IPS могут анализировать поведение пользователей и приложений внутри системы. Подозрительная активность также блокируется — завершаются процессы, изымаются файлы, отключаются учетные записи.
Таким образом IPS в режиме реального времени обнаруживают и активно пресекают любые попытки атаки извне или изнутри системы. Это надежно защищает данные от утечек и компрометации.
Совмещение IDS/IPS
Однако, как уже было сказано в начале, киберугрозы не стоят на месте. В условиях роста изощренных кибератак использование отдельных систем обнаружения (IDS) или предотвращения (IPS) вторжений уже не обеспечивает должного уровня защиты информации. Злоумышленники научились маскировать вредоносную активность под легитимный трафик, обходить традиционные методы обнаружения.
Чтобы эффективно противостоять таким угрозам, требуется объединение возможностей IDS и IPS в едином решении.
Такие комплексные системы дают следующие преимущества:
- Максимальная защита. Объединение возможностей IDS и IPS позволяет не только обнаруживать, но и останавливать атаки в режиме реального времени.
- Эффективность. Комбинированные системы оптимизированы для совместной работы модулей IDS и IPS. Это дает более высокую скорость и точность обнаружения угроз по сравнению с раздельными решениями.
- Удобство управления. Наличие единой консоли для управления и мониторинга значительно упрощает работу ИБ-специалистов.
- Снижение затрат. Развертывание единого решения IDS/IPS обходится дешевле, чем внедрение отдельных систем.
Рекомендации по внедрению
Для эффективной работы систем обнаружения и предотвращения вторжений критически важно правильно разместить их датчики в инфраструктуре компании. Вот основные рекомендации:
- На границах сети. Установка сетевых датчиков IDS/IPS на внешнем и внутреннем периметре позволяет контролировать весь входящий и исходящий трафик.
- На узловом оборудовании. Размещение датчиков на критически важных серверах (доменных контроллерах, базах данных, почтовике) дает возможность отслеживать атаки внутри систем.
- На конечных точках. Установка агентов IDS/IPS на рабочих станциях пользователей позволяет обнаруживать угрозы на уровне отдельных хостов.
- С учетом архитектуры. Необходимо анализировать топологию сети и располагать датчики таким образом, чтобы максимально перекрыть возможные пути атак.
Правильная установка датчиков — залог полноты видимости и высокой эффективности систем обнаружения и предотвращения вторжений. Это критически важный элемент в общей стратегии защиты данных.
Помимо размещения датчиков, ключевым фактором эффективности IDS/IPS является корректная настройка правил для обнаружения угроз.
Вот основные рекомендации:
- Включить правила по умолчанию. Многие системы поставляются с предустановленными шаблонами правил для распознавания известных атак. Их стоит активировать.
- Добавить правила для критичных данных. Необходимо создать пользовательские правила для мониторинга доступа к базам данных, хранилищам персональной информации, финансовым системам.
- Настроить whitelists. Чтобы снизить количество ложных срабатываний, нужно задать списки разрешенных IP-адресов, приложений, пользователей.
- Тонко настраивать пороги срабатывания. Излишне низкий порог приведет к избыточным оповещениям, высокий может пропустить реальные атаки.
- Регулярно обновлять правила. Необходимо отслеживать появление новых угроз и своевременно добавлять правила для их обнаружения.
- Анализировать ложные срабатывания. Изучение причин ошибок поможет оптимизировать и уточнить правила для конкретной инфраструктуры.
Также стоит сказать пару слов про регулярное обновление сигнатур угроз — процесса, без которого защита с помощью систем IDS/IPS невозможна.
Злоумышленники постоянно генерируют новые виды атак, используя уязвимости нулевого дня и изощренные методы вроде шифрования вредоносного трафика. Без актуальных сигнатур IDS и IPS не смогут распознать новые угрозы.
Поэтому критически важно установить для систем максимально короткий интервал автоматического обновления сигнатур и баз данных угроз. Многие производители выпускают такие обновления ежедневно или даже чаще. Также рекомендуется настроить уведомления о появлении новых значимых угроз, чтобы своевременно проверить обновление сигнатур. Иногда требуется вручную запустить внеплановое обновление, если атака представляет особую опасность.
Регулярное обновление сигнатур помогает системам обнаружения и предотвращения вторжений идти в ногу со злоумышленниками.
Интеграция с другими СЗИ
Разумеется даже самая надежная система IDS/IPS не может работать в одиночестве. Для максимальной эффективности защиты рекомендуется интегрировать системы обнаружения и предотвращения вторжений с другими решениями кибербезопасности, такими как межсетевые экраны и антивирусы.
Такая интеграция позволяет IDS и IPS получать дополнительные данные для анализа из внешних систем. К примеру, данные из IDS/IPS о выявленных угрозах могут автоматически направляться в межсетевой экран для блокировки атакующих хостов. А обнаруженные вредоносные файлы передаваться антивирусу для добавления в черный список. Такое взаимодействие повышает скорость реакции на инциденты. Кроме того, корреляция событий из разных систем позволяет проводить более точный анализ атак и выявлять сложные многоступенчатые вторжения. IDS/IPS также служат дополнительным источником данных для таких решений как SIEM и SOAR.
Заключение
Системы IDS/IPS служат тем дополнительным слоем защиты, который позволяет оперативно выявлять и пресекать изощренные кибератаки, от которых не спасают традиционные решения вроде межсетевых экранов. Работая в режиме реального времени, они мгновенно реагируют на самые первые признаки проникновения, что может спасти компанию от кибератак даже в самый неожиданный момент.
Однако максимальную пользу IDS/IPS могут принести только при правильном подходе. Необходимо осуществлять тщательный выбор решений под задачи компании, грамотно развертывать и настраивать системы, обеспечивать их бесперебойную работу и своевременное обновление. Только комплексный подход к внедрению IDS/IPS позволит получить надежную защиту данных от киберугроз.
Автор статьи: Глеб Верди, специалист по ИБ «Астрал. Безопасность»