Система обнаружения вторжений (IDS) — это система, которая отслеживает сетевой трафик на предмет подозрительной активности и предупреждает об обнаружении такой активности.
Хотя обнаружение аномалий и составление отчетов являются основными функциями IDS, некоторые системы обнаружения вторжений способны предпринимать действия при обнаружении вредоносной активности или аномального трафика, включая блокирование трафика, отправленного с подозрительных адресов Интернет-протокола (IP).
IDS можно противопоставить системе предотвращения вторжений (IPS), которая отслеживает сетевые пакеты на предмет потенциально опасного сетевого трафика, как IDS, но основной целью является предотвращение обнаруженных угроз, а не обнаружение и запись угроз.
Как работают системы обнаружения вторжений?
Системы обнаружения вторжений используются для обнаружения аномалий с целью поймать хакеров до того, как они нанесут реальный ущерб сети. IDS могут быть как сетевыми, так и хостовыми. Хостовая система обнаружения вторжений устанавливается на клиентский компьютер, а сетевая система обнаружения вторжений находится в сети.
Системы обнаружения вторжений работают, ища сигнатуры известных атак или отклонений от нормальной деятельности. Эти отклонения или аномалии помещаются в стек и проверяются на уровне протокола и приложения. Они могут эффективно обнаруживать такие события, как отравление системы доменных имен (DNS).
IDS может быть реализована как программное приложение, работающее на клиентском оборудовании, или как сетевое устройство безопасности. Также доступны облачные системы обнаружения вторжений для защиты данных и систем в облачных средах.
Различные типы систем обнаружения вторжений
IDS бывают разных видов и обнаруживают подозрительные действия с помощью разных методов, в том числе следующих:
Система обнаружения сетевых вторжений (NIDS) развернута в стратегической точке или точках в сети, где она может отслеживать входящий и исходящий трафик на все устройства в сети и от них.
Хост-система обнаружения вторжений (HIDS) работает на всех компьютерах или устройствах в сети с прямым доступом как к Интернету, так и к внутренней сети предприятия. HIDS имеет преимущество перед NIDS в том, что он может обнаруживать аномальные сетевые пакеты, исходящие из организации, или вредоносный трафик, который NIDS не удалось обнаружить. HIDS также может идентифицировать вредоносный трафик, который исходит от самого хоста, например, когда хост заражен вредоносным ПО и пытается распространить вредоносное ПО на другие системы.
Система обнаружения вторжений на основе сигнатур (SIDS) отслеживает все пакеты, проходящие через сеть, и сравнивает их с базой данных сигнатур атак или атрибутов известных вредоносных угроз, подобно антивирусному программному обеспечению.
Система обнаружения вторжений (AIDS) на основе аномалий отслеживает сетевой трафик и сравнивает его с установленным базовым уровнем, чтобы определить, что считается нормальным для сети в отношении пропускной способности, протоколов, портов и других устройств. Этот тип часто использует машинное обучение, чтобы установить базовый уровень и сопутствующую политику безопасности. Затем он уведомляет ИТ-специалистов о подозрительной активности и нарушениях политик. Обнаружив угрозы с использованием широкой модели вместо конкретных сигнатур и атрибутов, метод обнаружения на основе аномалий улучшает ограничения методов на основе сигнатур, особенно при обнаружении новых угроз.
Исторически системы обнаружения вторжений делились на пассивные и активные. Пассивная IDS, обнаружившая вредоносную активность, будет генерировать предупреждения или записи в журнале, но не будет предпринимать никаких действий. Активная IDS, иногда называемая системой обнаружения и предотвращения вторжений (IDPS), будет генерировать предупреждения и записи в журнале, но также может быть настроена для выполнения действий, таких как блокировка IP-адресов или закрытие доступа к ограниченным ресурсам.
Snort — одна из наиболее широко используемых систем обнаружения вторжений — представляет собой свободно доступную и легковесную NIDS с открытым исходным кодом, которая используется для обнаружения возникающих угроз. Snort может быть скомпилирован в большинстве операционных систем (ОС) Unix или Linux, а также доступна версия для Windows.
Возможности систем обнаружения вторжений
Системы обнаружения вторжений отслеживают сетевой трафик, чтобы обнаружить, когда атака осуществляется неавторизованными объектами. IDS делают это, предоставляя специалистам по безопасности некоторые или все следующие функции:
- мониторинг работы маршрутизаторов, брандмауэров, серверов управления ключами и файлов, которые необходимы для других мер безопасности, направленных на обнаружение, предотвращение или восстановление после кибератак;
- предоставление администраторам возможности настраивать, организовывать и понимать соответствующие журналы аудита ОС и другие журналы, которые иначе трудно отследить или проанализировать;
- предоставление удобного интерфейса, чтобы неспециалисты могли помочь в управлении безопасностью системы;
- включение обширной базы данных сигнатур атак, с которой можно сопоставить информацию из системы;
- распознавать и сообщать, когда IDS обнаруживает, что файлы данных были изменены;
- генерация сигнала тревоги и уведомление о нарушении безопасности;
- реагировать на злоумышленников, блокируя их или блокируя сервер.
Преимущества систем обнаружения вторжений
Системы обнаружения вторжений предлагают организациям несколько преимуществ, начиная с возможности выявления инцидентов безопасности. IDS можно использовать для анализа количества и типов атак. Организации могут использовать эту информацию для изменения своих систем безопасности или внедрения более эффективных средств контроля. Система обнаружения вторжений также может помочь компаниям выявлять ошибки или проблемы с конфигурациями сетевых устройств. Затем эти показатели можно использовать для оценки будущих рисков.
Системы обнаружения вторжений также могут помочь предприятиям добиться соответствия нормативным требованиям. IDS дает компаниям большую видимость в своих сетях, упрощая соблюдение правил безопасности. Кроме того, предприятия могут использовать свои журналы IDS как часть документации, чтобы показать, что они соответствуют определенным требованиям соответствия.
Системы обнаружения вторжений также могут улучшить меры безопасности. Поскольку датчики IDS могут обнаруживать сетевые хосты и устройства, их также можно использовать для проверки данных в сетевых пакетах, а также для идентификации операционных систем используемых служб. Использование IDS для сбора этой информации может быть намного более эффективным, чем ручная перепись подключенных систем.
Проблемы систем обнаружения вторжений
IDS склонны к ложным тревогам или ложным срабатываниям. Следовательно, организациям необходимо точно настроить свои продукты IDS при их первой установке. Это включает в себя правильную настройку их систем обнаружения вторжений для распознавания того, как выглядит обычный трафик в их сети по сравнению с потенциально вредоносной активностью.
Однако, несмотря на неэффективность, которую они вызывают, ложные срабатывания обычно не наносят серьезного ущерба реальной сети, а просто приводят к улучшению конфигурации.
Гораздо более серьезной ошибкой IDS является ложное срабатывание, когда IDS пропускает угрозу и принимает ее за законный трафик. В ложноотрицательном сценарии ИТ-команды не имеют никаких признаков того, что происходит атака, и часто не обнаруживают ее до тех пор, пока сеть не подвергнется какому-либо воздействию. Для IDS лучше быть сверхчувствительным к аномальному поведению и генерировать ложные срабатывания, чем быть недостаточно чувствительным, генерируя ложноотрицательные результаты.
Ложноотрицательные срабатывания становятся все более серьезной проблемой для IDS, особенно для SIDS, поскольку вредоносное ПО развивается и становится все более изощренным. Подозрение на вторжение трудно обнаружить, поскольку новое вредоносное ПО может не отображать ранее обнаруженные модели подозрительного поведения, для обнаружения которых обычно предназначены IDS. В результате возрастает потребность в IDS для обнаружения нового поведения и упреждающего выявления новых угроз и методов их обхода как можно скорее.
Отличие IDS от IPS
IPS похожа на систему обнаружения вторжений, но отличается тем, что IPS может быть настроена для блокировки потенциальных угроз. Как и системы обнаружения вторжений, IPS можно использовать для мониторинга, регистрации и составления отчетов о действиях, но их также можно настроить для предотвращения угроз без участия системного администратора. IDS просто предупреждает о подозрительной активности, но не предотвращает ее.
IPS обычно размещается между брандмауэром компании и остальной частью ее сети и может иметь возможность предотвратить попадание любого подозрительного трафика в остальную часть сети. Системы предотвращения вторжений реагируют на активные атаки в режиме реального времени и могут активно обнаруживать злоумышленников, которых могут пропустить брандмауэры или антивирусное программное обеспечение.
Однако организациям следует быть осторожными с IPS, поскольку они также могут быть подвержены ложным срабатываниям. Ложное срабатывание IPS, вероятно, будет более серьезным, чем ложное срабатывание IDS, потому что IPS предотвращает прохождение законного трафика, тогда как IDS просто помечает его как потенциально вредоносный.
Для большинства организаций стало необходимым иметь либо IDS, либо IPS — а обычно и то, и другое — как часть их инфраструктуры управления информацией и событиями безопасности (SIEM).
Несколько поставщиков интегрируют IDS и IPS в один продукт, известный как унифицированное управление угрозами (UTM), что позволяет организациям одновременно внедрять обе системы вместе с брандмауэрами и системами в своей инфраструктуре безопасности.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.