Информационная безопасность

Четыре к одному


Современные системы IPS развивались в нескольких направлениях. Некоторые производители развили имеющиеся у них IDS, оснастив их гораздо более эффективными механизмами предотвращения атак. Например, в системах IDS использовалась простая посылка TCP-пакетов с флагом RST или реконфигурация МСЭ и сетевого оборудования. Эффективность этой "защиты" для классических IDS составляет всего около 30% - ведь трафик через устройство не проходит и о реагировании в реальном времени говорить не приходится (существует хоть и минимальная, но задержка). Однако было найдено простое решение: поместить систему IDS между защищаемыми и незащищаемыми ресурсами (весь трафик между ними проходит через IDS). Так появились системы под названием inline-IDS, позже переименованные в IPS. По этому пути пошли компании ISS, Cisco, NFR и Sourcefire.

Однако технологии IPS не ограничивались только эволюцией систем IDS. Современные МСЭ, оснащенные механизмом глубокого анализа трафика, также могут быть отнесены к разряду IPS. Нехватка расширенных механизмов анализа в МСЭ привела к тому, что их стали оснащать функциями не только анализа заголовка пакета, но и глубокого проникновения в тело данных и "понимания" передаваемых протоколов. Производители по-разному называют эту функциональность: Deep Packet Inspection, Application Intelligence и т. д., но суть ее от этого не меняется. МСЭ с такими функциями способны обнаруживать многие нарушения политики безопасности, например скрытие в протоколе HTTP запрещенных приложений (ICQ, P2P и т. п.), отклонение от стандартов RFC и т. д. Разумеется, современные МСЭ не обладают такими же механизмами обнаружения атак, что и IDS, но со временем слияние этих систем все же произойдет. По пути оснащения своих МСЭ новыми возможностями пошли компании Check Point, Cisco, Fortinet и iPolicy Networks.

Существует еще третье направление, которое послужило толчком к становлению современных систем предотвращения атак, - создание антивирусов. Начавшие свой путь как средства лечения загрузочных, файловых и макровирусов, эти средства защиты "нарастили мышцы" за счет обнаружения троянцев, червей и других вредоносных программ. В итоге, читая описания современных антивирусов, очень сложно понять, о чем идет речь - об антивирусной программе или системе IPS.

Четвертым витком эволюции стало создание "чистых" систем IPS, которые изначально были ориентированы на предотвращение атак. По такому пути пошли компании OneSecure и IntruShield, выпустившие в 2000-2001 годах первые IPS. В эту же категорию попали такие пионеры отрасли, как Network ICE и Tipping Point. Но, как говорится, иных уж нет, а те далече - все названные компании были куплены более крупными игроками: McAfee, NetScreen, ISS и т. п.

Сейчас в сегменте собственно IPS появились новые "ростки" - V-Secure, Reflex Security, DeepNines Technologies и другие.



Содержание раздела