IDS - што гэта такое? Сістэма выяўлення ўварванняў (IDS) як працуе?

IDS - што гэта такое? Як працуе гэтая сістэма? Сістэмы выяўлення ўварванняў - гэта праграмныя або апаратныя сродкі выяўлення нападаў і шкоднасных дзеянняў. Яны дапамагаюць сетках і кампутарных сістэмах даваць ім належны адпор. Для дасягнення гэтай мэты IDS вырабляе збор інфармацыі з шматлікіх сістэмных або сеткавых крыніц. Затым сістэма IDS аналізуе яе на прадмет наяўнасці нападаў. У дадзеным артыкуле будзе зроблена спроба адказаць на пытанне: "IDS - што гэта такое і для чаго яна патрэбна?"

Для чаго патрэбныя сістэмы выяўлення ўварвання (IDS)

Інфармацыйныя сістэмы і сеткі пастаянна падвяргаюцца кібер-нападам. Брандмаўэраў і антывірусаў для адлюстравання ўсіх гэтых нападаў аказваецца відавочна недастаткова, паколькі яны толькі здольныя абараніць «парадны ўваход» камп'ютэрных сістэм і сетак. Розныя падлеткі, якія ўявілі сябе хакерамі, бесперапынку гойсаюць па інтэрнэце ў пошуках шчылін у сістэмах бяспекі.

Дзякуючы сусветнай павуціне ў іх распараджэнні вельмі шмат цалкам бясплатнага шкоднаснага софту - усякіх слеммеров, слепперов і таму падобных шкодных праграм. Паслугамі ж прафесійных узломшчыкаў карыстаюцца канкуруючыя кампаніі для нейтралізацыі адзін аднаго. Так што сістэмы, якія выяўляюць ўварванне (intrusion detection systems), - надзённая неабходнасць. Нядзіўна, што з кожным днём яны ўсё больш шырока выкарыстоўваюцца.

элементы IDS

Да элементаў IDS адносяцца:

• дэтэктарнага падсістэма, мэта якой - назапашванне падзей сеткі або кампутарнай сістэмы;
• падсістэма аналізу, якая выяўляе кібер-напады і сумнеўную актыўнасць;
• сховішча для назапашвання інфармацыі пра падзеі, а таксама вынікі аналізу кібер-нападаў і несанкцыянаваных дзеянняў;
• кансоль кіравання, пры дапамозе якой можна задаваць параметры IDS, сачыць за станам сеткі (або кампутарнай сістэмы), мець доступ да інфармацыі пра выяўленыя падсістэмай аналізу атакі і неправамерныя дзеянні.

Дарэчы, многія могуць спытаць: "Як перакладаецца IDS?" Пераклад з ангельскай гучыць як "сістэма, якая застае на гарачым няпрошаных гасцей".

Асноўныя задачы, якія вырашаюць сістэмы выяўлення ўварванняў

Сістэма выяўлення ўварванняў мае дзве асноўныя задачы: аналіз крыніц інфармацыі і адэкватная рэакцыя, заснаваная на выніках гэтага аналізу. Для выканання гэтых задач сістэма IDS ажыццяўляе наступныя дзеянні:

• маніторыць і аналізуе актыўнасць карыстальнікаў;
• займаецца аўдытам канфігурацыі сістэмы і яе слабых месцаў;
• правярае цэласнасць найважнейшых сістэмных файлаў, а таксама файлаў дадзеных;
• праводзіць статыстычны аналіз станаў сістэмы, заснаваны на параўнанні з тымі станамі, якія мелі месца падчас ўжо вядомых нападаў;
• ажыццяўляе аўдыт аперацыйнай сістэмы.

Што можа забяспечыць сістэма выяўлення ўварванняў і што ёй не пад сілу

З яе дапамогай можна дамагчыся наступнага:

• палепшыць параметры цэласнасці сеткавай інфраструктуры;
• прасачыць актыўнасць карыстача ад моманту яго ўваходжання ў сістэму і да моманту нанясення ёй шкоды або творы якіх-небудзь несанкцыянаваных дзеянняў;
• распазнаць і апавясціць пра змяненне або выдаленне дадзеных;
• аўтаматызаваць задачы маніторынгу інтэрнэту з мэтай пошуку самых апошніх нападаў;
• выявіць памылкі ў канфігурацыі сістэмы;
• выявіць пачатак атакі і апавясціць пра гэта.

Сістэма IDS гэта зрабіць не можа:

• папоўніць недахопы ў сеткавых пратаколах;
• згуляць кампенсаторных ролю ў выпадку наяўнасці слабых механізмаў ідэнтыфікацыі і ідэнтыфікацыі ў сетках ці камп'ютэрных сістэмах, якія яна маніторыць;
• таксама варта заўважыць, што IDS не заўсёды спраўляецца з праблемамі, звязанымі з нападамі на пакетным узроўні (packet-level).

IPS (intrusion prevention system) - працяг IDS

IPS расшыфроўваецца як "прадухіленне ўварвання ў сістэму". Гэта пашыраныя, больш функцыянальныя разнавіднасці IDS. IPS IDS сістэмы рэактыўнасць (у адрозненне ад звычайнай). Гэта азначае, што яны могуць не толькі выяўляць, запісваць і апавяшчаць пра атаку, але таксама і выконваць ахоўныя функцыі. Гэтыя функцыі ўключаюць скід злучэнняў і блякаваньне тых, хто паступае пакетаў трафіку. Яшчэ адной адметнай рысай IPS з'яўляецца тое, што яны працуюць у рэжыме онлайн і могуць аўтаматычна заблакаваць атакі.

Падвіды IDS па спосабе маніторынгу

NIDS (гэта значыць IDS, якія манітораць ўсю сетку (network)) займаюцца аналізам трафіку ўсёй падсеткі і кіруюцца цэнтралізавана. Правільным размяшчэннем некалькіх NIDS можна дамагчыся маніторынгу даволі вялікі па памеры сеткі.

Яны працуюць у неразборліва рэжыме (гэта значыць правяраюць ўсе паступаюць пакеты, а не робяць гэта выбарачна), параўноўваючы трафік падсеткі з вядомымі нападамі са сваёй бібліятэкі. Калі атака ідэнтыфікаваная ці ж выяўленая несанкцыянаваная актыўнасць, адміністратару пасылаецца сігнал трывогі. Аднак варта згадаць, што ў вялікай сеткі з вялікім трафікам NIDS часам не спраўляюцца з праверкай ўсіх інфармацыйных пакетаў. Таму існуе верагоднасць таго, што падчас «гадзіны пік» яны не змогуць распазнаць атаку.

NIDS (network-based IDS) - гэта тыя сістэмы, якія лёгка ўбудоўваць у новыя тапалогіі сеткі, паколькі асаблівага ўплыву на іх функцыянаванне яны не аказваюць, з'яўляючыся пасіўнымі. Яны толькі фіксуюць, запісваюць і апавяшчаюць, у адрозненне ад рэактыўнага тыпу сістэм IPS, пра якія гаворка ішла вышэй. Аднак трэба таксама сказаць пра network-based IDS, што гэта сістэмы, якія не могуць вырабляць аналіз інфармацыі, падвергнутай шыфраванню. Гэта істотны недахоп, бо з-за ўсё больш шырокага ўкаранення віртуальных прыватных сетак (VPN) шыфраваная інфармацыя ўсё часцей выкарыстоўваецца кіберзлачынцамі для нападаў.

Таксама NIDS не могуць вызначыць, што здарылася ў выніку атакі, нанесла яна шкоду ці не. Усё, што ім пад сілу, - гэта зафіксаваць яе пачатак. Таму адміністратар вымушаны самастойна пераправяраць кожны выпадак нападу, каб пераканацца ў тым, што атакуючыя дамагліся свайго. Яшчэ адной істотнай праблемай з'яўляецца тое, што NIDS з цяжкасцю фіксуе атакі пры дапамозе фрагментаваным пакетаў. Яны асабліва небяспечныя, паколькі могуць парушыць нармальную працу NIDS. Што гэта можа азначаць для ўсёй сеткі або кампутарнай сістэмы, тлумачыць не трэба.

HIDS (host intrusion detection system)

HIDS (IDS, мониторящие хост (host)) абслугоўваюць толькі канкрэтны кампутар. Гэта, натуральна, забяспечвае нашмат больш высокую эфектыўнасць. HIDS аналізуюць два тыпу інфармацыі: сістэмныя логі і вынікі аўдыту аперацыйнай сістэмы. Яны робяць здымак сістэмных файлаў і параўноўваюць яго з больш раннім здымкам. Калі крытычна важныя для сістэмы файлы былі зменены або выдалены, то тады адміністратару пасылаецца сігнал трывогі.

Істотным перавагай HIDS з'яўляецца здольнасць выконваць сваю працу ў сітуацыі, калі сеткавы трафік паддаецца шыфроўкі. Такое магчыма дзякуючы таму, што знаходзяцца на хасце (host-based) крыніцы інфармацыі можна ствараць перад тым, як дадзеныя паддаюцца шыфраванню, або пасля іх расшыфроўкі на хасце прызначэння.

Да недахопаў дадзенай сістэмы можна аднесці магчымасць яе блакавання або нават забароны пры дапамозе вызначаных тыпаў DoS-нападаў. Праблема тут у тым, што сэнсары і некаторыя сродкі аналізу HIDS знаходзяцца на хасце, які падвяргаецца нападу, гэта значыць іх таксама атакуюць. Той факт, што HIDS карыстаюцца рэсурсамі хастоў, працу якіх яны манітораць, таксама складана назваць плюсам, паколькі гэта, натуральна, памяншае іх прадукцыйнасць.

Падвіды IDS па метадах выяўлення нападаў

Метад анамалій, метад аналізу сігнатур і метад палітык - такія падвіды па метадах выяўлення нападаў мае сістэма IDS.

Метад аналізу сігнатур

У гэтым выпадку пакеты дадзеных правяраюцца на наяўнасць сігнатур атакі. Сігнатура атакі - гэта адпаведнасць падзеі аднаму з узораў, якія апісваюць вядомую атаку. Гэты метад досыць эфектыўны, паколькі пры яго выкарыстанні паведамленні аб ілжывых атаках дастаткова рэдкія.

метад анамалій

Пры яго дапамозе выяўляюцца неправамерныя дзеянні ў сеткі і на хастах. На падставе гісторыі нармальнай працы хаста і сеткі ствараюцца спецыяльныя профілі з дадзенымі пра гэта. Потым у гульню ўступаюць спецыяльныя дэтэктары, якія аналізуюць падзеі. Пры дапамозе розных алгарытмаў яны вырабляюць аналіз гэтых падзей, параўноўваючы іх з «нормай» у профілях. Адсутнасць патрэбы назапашваць велізарная колькасць сігнатур нападаў - несумнеўны плюс гэтага метаду. Аднак немалая колькасць ілжывых сігналаў пра нападу пры нетыповых, але цалкам законных падзеях у сеткі - гэта несумненны яго мінус.

метад палітык

Яшчэ адным метадам выяўлення нападаў з'яўляецца метад палітык. Сутнасць яго - у стварэнні правілаў сеткавай бяспекі, у якіх, да прыкладу, можа паказвацца прынцып ўзаемадзеяння сетак паміж сабой і выкарыстоўваюцца пры гэтым пратаколы. Гэты метад перспектыўны, аднак складанасць заключаецца ў досыць няпростым працэсе стварэння базы палітык.

ID Systems забяспечыць надзейнай абаронай вашы сеткі і кампутарныя сістэмы

Група кампаній ID Systems на сённяшні дзень з'яўляецца адным з лідэраў рынку ў галіне стварэння сістэм бяспекі для кампутарных сетак. Яна забяспечыць вас надзейнай абаронай ад кібер-злыдняў. З сістэмамі абароны ID Systems вы зможаце не перажываць за важныя для вас дадзеныя. Дзякуючы гэтаму вы зможаце больш атрымліваць асалоду ад жыццём, паколькі ў вас на душы будзе менш трывог.

ID Systems - водгукі супрацоўнікаў

Цудоўны калектыў, а галоўнае, вядома, - гэта правільнае стаўленне кіраўніцтва кампаніі да сваіх супрацоўнікам. Ва ўсіх (нават неапераных пачаткоўцаў) ёсць магчымасць прафесійнага росту. Праўда, для гэтага, натуральна, трэба праявіць сябе, і тады ўсё атрымаецца.

У калектыве здаровая атмасфера. Пачаткоўцаў заўсёды ўсім навучаць і ўсё пакажуць. Ніякай нездаровай канкурэнцыі не адчуваецца. Супрацоўнікі, якія працуюць у кампаніі ўжо многія гады, з радасцю дзеляцца усімі тэхнічнымі тонкасцямі. Яны добразычліва, нават без ценю паблажлівасці адказваюць на самыя дурныя пытанні нявопытных работнікаў. Увогуле, ад працы ў ID Systems адны прыемныя эмоцыі.

Стаўленне кіраўніцтва прыемна радуе. Таксама радуе тое, што тут, відавочна, ўмеюць працаваць з кадрамі, таму што калектыў сапраўды высокапрафесійны падабраўся. Меркаванне супрацоўнікаў практычна адназначна: яны адчуваюць сябе на працы як дома.