Информационная безопасность

Почему проекты внедрения IPS проваливаются, или Что нас ждет в будущем?


В начале XXI века некоторые эксперты предрекали системам IDS скорую смерть, ссылаясь на три основные проблемы при их внедрении: высокий процент ложных срабатываний, большое число управленческих задач и автоматизация реагирования. Системы IPS справились только с последней. Какие же действия предпринимают производители для решения проблем, способных похоронить эту технологию защиты?

Прежде всего рассмотрим проблему ложных срабатываний. Представьте, что мимо вас в детскую комнату летит комар. Вы его обнаружили, но этого мало. Вы не знаете, находится ли ваш ребенок в детской, а если находится, то намазался ли он средством против комаров. В результате вы сломя голову бежите в комнату и убиваете комара. За эти секунды на плите убегает и выплескивается на плиту варенье-"пятиминутка", а нет ничего страшнее для керамической варочной панели, чем засохший сахар. С системами обнаружения и предотвращения атак ситуация похожая: обратив внимание на первый сигнал тревоги и не зная, насколько реальна опасность, вы можете упустить из виду более серьезное событие, поступившее на консоль администратора вторым. Более того, существуют специальные утилиты, которые генерируют потоки ложных событий, чтобы ввести администратора в заблуждение. Поэтому первое, на что надо обращать внимание при выборе систем защиты описываемого класса, - борьба с ложными срабатываниями (false positive).

Для решения этой проблемы применяются системы корреляции событий, которые в состоянии определить, что скрывается за атаку емыми IP-адресами, и сделать вывод, подвержена ли цель такой атаке. Если нет, то событием можно пренебречь и оставить его . Однако, чтобы принять решение о реальности атаки, необходимо знать, какие ОС и ПО установлены на атакуемом узле. Если, например, червь SQL Slammer атакует Linux-сервер, то последнему ничего не угрожает, так как SQL Slammer наносит ущерб только серверам с СУБД MS SQL Server без соответствующих заплаток. Информация о ПО и ОС может быть добыта двумя путями (ручное задание этих параметров для всех атакуемых узлов вряд ли можно рассматривать как перспективный способ).
Например, с помощью дистанционного сканирования и получения необходимой информации от самого атакуемого узла. Этот способ наиболее прост в реализации - достаточно просканировать сеть и связать информацию об атаках с конкретными версиями ОС, ПО и уязвимостями (это и есть процесс корреляции). Однако у данного метода есть серьезное ограничение - системы корреляции стоят немалых денег.

Решение указанной проблемы заключается в использовании облегченных и интегрированных в системы предотвращения атак подсистем корреляции. Такая система регулярно проводит сканирование сети и запоминает состояние составляющих ее узлов. В момент атаки происходит связывание сведений об атаке с информацией об атакуемом узле. Если связь есть, то атака не ложная; если связь не обнаружена, то приоритет атаки снижается и администратор не тратит на нее время и энергию. Этот способ отсеивания ложных срабатываний появился недавно и пока не получил широкого распространения. В принципе, установленная на узле система персональной защиты (например, HIPS) сама сигнализирует сетевому сенсору, какая атака может нанести ущерб, а какая нет.

Другая, пока не до конца решенная проблема - большое число управленческих задач, к которым относятся обновление сигнатур, интерпретация сигналов тревоги, настройка системы и т. д. Каждый производитель решает их по-своему, единых стандартов и рекомендаций еще не существует. Если же этому аспекту должного внимания не уделить, то система IPS из средства защиты сама может превратиться в источник проблем. К примеру, неграмотно настроенная функция блокирования вторже- ния может стать причиной отказа в обслужи- вании (denial of service) для какого-либо узла или приложения.

Между тем существует еще целый ряд проблем, ожидающих своего решения. Первая заключается в отказоустойчивости системы IPS. Ведь если решение выйдет из строя, то в канале связи образуется затор и трафик не сможет дойти до адресата. Рекомендации, даваемые на заре использования IPS ("лучше не допустить проникновения или утечки и блокировать доступ в сеть в случае выхода IPS из строя, чем оставить сеть открытой и незащищенной"), сегодня уже устарели.


Многие бизнес- приложения являются более приоритетными, нежели системы защиты, и снижение доступности первых недопустимо, даже в ущерб защищенности. Поэтому теперь большинство систем IPS оснащаются различными механизмами отказоустойчивости (программными или аппаратными bypass-системами).

Второй проблемой стало предотвращение атак в коммутируемых сетях. Когда речь заходит о применении IDS в коммутируемых сетях, то особых проблем это уже не вызывает. Можно использовать различные механизмы и технологии, самая распространенная из которых - использование SPAN-порта на коммутаторе, куда подключается сенсор системы обнаружения. Однако как только от обнаружения мы переходим к предотвращению, ситуация коренным образом меняется. Мы уже не можем просто подключить IPS к SPAN-порту и блокировать все атаки, ведь трафик должен проходить через само устройство защиты. Первый вариант решения проблемы сегодня доступен только в решениях компании Cisco (в коммутаторе Cisco Catalyst 6500), которые имеют интегрированный модуль, способный блокировать проходящий через него трафик. А если ваша сеть построена на коммутаторах другого производителя? Устанавливать сенсоры IPS между коммутатором и защищаемым узлом слишком дорого - число сенсоров будет равно числу защищаемых ресурсов, что сделает инфраструктуру отражения атак поистине золотой.

Использование многоинтерфейсных сенсоров (например, с четырьмя или восьмью портами) ситуацию кардинально не меняет - инфраструктура все равно получается очень дорогой. Выходом может стать метод, появившийся совсем недавно и получивший название Inline-on-a-Stick. Суть его проста: на интерфейс устройства IPS поступает трафик одной из VLAN и после обработки через этот же интерфейс уходит обратно. Если учесть возможность поддержки до 255 пар VLAN-соединений на одном порту сенсора, то можно контролировать очень большие локальные сети (с восьмьюпортовой картой число контролируемых соединений составляет примерно 2000).

Третья - кооперация с IPS других производителей.


Некоторые заказчики, имея финансовые ресурсы и следуя пословице "не кладите все яйца в одну корзину", строят инфраструктуру предотвращения атак на решениях разных производителей. При этом компании хотят контролировать разнородные сенсоры с одной консоли управления. Вариантов решения задачи два: применение внешних систем управления информационной безопасности (SIMS, Security Information Management System, или SEMS, Security Event Management System) и поддержка стандарта SDEE (Security Device Event Exchange). Второй путь более экономичен и позволяет передавать сигналы тревоги, полученные сенсором одного производителя, на консоль другого производителя.

Четвертая проблема - это увеличение пропускной способности. Лучшие с точки зрения производительности системы IPS работают на скоростях 2-5 Гбит/с, чего более чем достаточно для периметра корпоративной сети, но не хватает для локальной сети. Например, 5-Гбит система IPS может защитить только пять серверов с 1-Гбит сетевыми картами или 50 рабочих станций с 100-Мбит сетевыми интерфейсами. Поэтому сейчас многие производители пошли по пути сетевых лидеров и начали использовать технологии ASIC или FPGA для реализации логики работы системы предотвращения атак. Это может существенно ускорить работу IPS.

Пятая проблема скрывается в поддержке новых приложений. Ранее атаки концентрировались на сетевом уровне, и возможностей IPS было достаточно для их отражения. В последнее время фокус атак сместился на прикладной уровень - на веб-сервисы, XML, SOAP, ERP, CRM, СУБД, IP-телефонию и прочее. Сетевые системы IPS перестали справляться с атаками, так как они не работают на уровне их реализации. Поэтому одним из направлений развития IPS станет поддержка новых технологий и протоколов.


Содержание раздела