Δείτε τι είναι το Intrusion Prevention System (IPS) ή στα Ελληνικά Σύστημα Πρόληψης Εισβολών και ποιες είναι οι διαφορές του με το IDS.
Aν είστε ΙΤ ή αν θέλετε να μπείτε σε αυτόν τον επαγγελματικό χώρο, θα υπάρξει κάποια στιγμή που θα κληθείτε να διαχειριστείτε ένα τοπικό δίκτυο, μικρό ή μεγάλο. Η πρώτη σας σκέψη θα είναι πως να το προστατεύσετε και μετά πως να το καλυτερεύσετε. Φυσικά υπάρχουν πολλές λύσεις και κόλπα προστασίας, ακόμα και θεωρίες για το πως πρέπει να είναι μία προστασία δικτύου.
Λόγω της πληθώρας των τύπων των επιθέσεων αλλά και της χαώδεις ανάπτυξης του διαδικτύου όλοι οι επαγγελματίες στο χώρο των υπολογιστών βασίζονται σε έτοιμους αυτοματισμούς και προϊόντα τρίτων για να προστατεύσουν τόσο τα δίκτυα που έχουν την ευθύνη, όσο και τους εαυτούς τους. Ένα τέτοιο σύστημα είναι και το Σύστημα Πρόληψης Εισβολών.
Τι είναι το σύστημα πρόληψης εισβολής; |
Ένα σύστημα πρόληψης εισβολών (Intrusion Prevention System = IPS) είναι μια μορφή ασφάλειας δικτύου που λειτουργεί για τον εντοπισμό και την πρόληψη γνωστών απειλών. Τα συστήματα πρόληψης εισβολής παρακολουθούν συνεχώς το δίκτυό σας, αναζητώντας πιθανά κακόβουλα συμβάντα και συλλαμβάνοντας πληροφορίες σχετικά με αυτά.
Το IPS αναφέρει αυτά τα συμβάντα σε διαχειριστές συστήματος και ταυτόχρονα λαμβάνει προληπτικά μέτρα, όπως το κλείσιμο των σημείων πρόσβασης και την διαμόρφωση του τείχους προστασίας για την αποτροπή μελλοντικών επιθέσεων. Οι λύσεις IPS μπορούν επίσης να χρησιμοποιηθούν για τον εντοπισμό ζητημάτων με εταιρικές πολιτικές ασφάλειας, αποτρέποντας τους υπαλλήλους και τους επισκέπτες του δικτύου να παραβιάζουν τους κανόνες που περιέχουν αυτές οι πολιτικές.
Με τόσα πολλά σημεία πρόσβασης που υπάρχουν σε ένα τυπικό επιχειρηματικό δίκτυο, είναι σημαντικό να έχετε έναν τρόπο παρακολούθησης για ενδείξεις πιθανών παραβιάσεων, συμβάντων και επικείμενων απειλών. Οι σημερινές απειλές δικτύου γίνονται όλο και πιο περίπλοκες και μπορούν να διεισδύσουν ακόμη και στις πιο ισχυρές λύσεις ασφαλείας.
Άλλωστε εκ των πραγμάτων είναι αδύνατον να είστε 24 ώρες / 7 ημέρες μπροστά σε μία οθόνη και να κοιτάτε την κίνηση του δικτύου σας, ψάχνοντας για τυχόν παραβιάσεις. Αν φανταζόσασταν κάτι τέτοιο, τότε μάλλον βλέπετε πολλές Αμερικάνικες ταινίες με κατασκόπους.
IPS και IDS – Ποια είναι η διαφορά; |
Όταν ψάχνετε για λύσεις IPS, μπορεί επίσης να συναντήσετε και τα συστήματα ανίχνευσης εισβολής (Intrusion Detection Systems = IDS). Πριν εξετάσουμε πώς λειτουργούν τα συστήματα πρόληψης εισβολής, ας ρίξουμε μια ματιά στη διαφορά μεταξύ IPS και IDS.
Η κύρια διαφορά μεταξύ IPS και IDS είναι η ενέργεια που λαμβάνουν όταν έχει εντοπιστεί πιθανό συμβάν.
Τα συστήματα πρόληψης εισβολής (IPS) ελέγχουν την πρόσβαση σε ένα δίκτυο πληροφορικής και το προστατεύουν από κατάχρηση και επίθεση. Αυτά τα συστήματα έχουν σχεδιαστεί για να παρακολουθούν τα δεδομένα εισβολής και να λαμβάνουν τα απαραίτητα μέτρα για να αποτρέψουν την ανάπτυξη μιας επίθεσης.
Τα συστήματα ανίχνευσης εισβολής (IDS) δεν έχουν σχεδιαστεί για να αποκλείουν επιθέσεις και θα παρακολουθούν απλώς το δίκτυο και θα στέλνουν ειδοποιήσεις σε διαχειριστές συστημάτων εάν εντοπιστεί πιθανή απειλή.
Πώς λειτουργούν τα συστήματα πρόληψης εισβολής; |
Τα συστήματα πρόληψης εισβολής λειτουργούν με σάρωση όλης της κυκλοφορίας του δικτύου. Υπάρχουν διάφορες απειλές που έχει σχεδιαστεί για να αποτρέψει ένα IPS, όπως:
- Επίθεση άρνησης υπηρεσίας (DoS)
- Κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS)
- Διάφοροι τύποι εκμεταλλεύσεων
- Σκουλήκια (worms)
- Ιοί (virus)
Το IPS εκτελεί έλεγχο πακέτων σε πραγματικό χρόνο, επιθεωρώντας σε βάθος κάθε πακέτο που ταξιδεύει μέσω του δικτύου. Εάν εντοπιστούν κακόβουλα ή ύποπτα πακέτα, το IPS θα πραγματοποιήσει μία από τις ακόλουθες ενέργειες:
- Τερματισμός της περιόδου σύνδεσης TCP που έχει αξιοποιηθεί και αποκλεισμός της διεύθυνσης IP της πηγής ή το λογαριασμό χρήστη από την πρόσβαση σε οποιαδήποτε εφαρμογή ή άλλους πόρους δικτύου.
- Επαναπρογραμματισμός ή επαναδιαμόρφωση του τείχους προστασίας για την αποτροπή παρόμοιας επίθεσης στο μέλλον.
- Κατάργηση ή αντικατάσταση τυχόν κακόβουλου περιεχόμενου που παραμένει στο δίκτυο μετά από μια επίθεση. Αυτό γίνεται ανασυσκευάζοντας τα κανονικά αρχεία, αφαιρώντας πληροφορίες κεφαλίδας και αφαιρώντας τυχόν μολυσμένα συνημμένα από διακομιστές αρχείων ή email.
Τύποι πρόληψης |
Ένα σύστημα πρόληψης εισβολών είναι συνήθως διαμορφωμένο ώστε να χρησιμοποιεί πολλές διαφορετικές προσεγγίσεις για την προστασία του δικτύου από μη εξουσιοδοτημένη πρόσβαση. Αυτά περιλαμβάνουν:
- Signature-Based – Η προσέγγιση βάσει υπογραφής χρησιμοποιεί προκαθορισμένες υπογραφές γνωστών απειλών δικτύου. Όταν ξεκινά μια επίθεση που ταιριάζει με μία από αυτές τις υπογραφές ή μοτίβα, το σύστημα λαμβάνει τα απαραίτητα μέτρα.
- Anomaly-Based – Η προσέγγιση που βασίζεται σε ανωμαλίες παρακολουθεί τυχόν ασυνήθιστη ή απροσδόκητη συμπεριφορά στο δίκτυο. Εάν εντοπιστεί μια ανωμαλία, το σύστημα αποκλείει αμέσως την πρόσβαση στον κεντρικό υπολογιστή προορισμού.
- Policy-Based – Αυτή η προσέγγιση απαιτεί από τους διαχειριστές να διαμορφώσουν πολιτικές ασφαλείας σύμφωνα με τις οργανωτικές πολιτικές ασφάλειας και την υποδομή του δικτύου. Όταν εμφανίζεται μια δραστηριότητα που παραβιάζει μια πολιτική ασφαλείας, ενεργοποιείται μια ειδοποίηση και αποστέλλεται στους διαχειριστές του συστήματος.
IPS – Προληπτική προστασία για οποιοδήποτε δίκτυο |
Οι λύσεις IPS προσφέρουν προληπτική πρόληψη ενάντια σε μερικά από τα πιο διαβόητα κατορθώματα του δικτύου του σήμερα. Όταν αναπτύσσεται σωστά, ένα IPS αποτρέπει την πρόκληση σοβαρής βλάβης από κακόβουλα ή ανεπιθύμητα πακέτα και βίαιες επιθέσεις.
Τι υπάρχει στην αγορά |
Οι επαγγελματίες που προσφέρουν τέτοιου είδους υπηρεσίες έχουν μεγάλο ανταγωνισμό μεταξύ τους. Είναι κάτι σαν τις εταιρείες που προσφέρουν antivirus προγράμματα για απλούς οικιακούς υπολογιστές, μόνο που εδώ τα πράγματα είναι πολύ πιο σοβαρά.
Ένα τέτοιου είδους πρόγραμμα δεν βασίζεται τόσο πολύ στην αρχική του εγκατάσταση, αλλά περισσότερο στην υποστήριξη και στην ανανέωση. Είναι ακριβά προγράμματα που θα πρέπει να ανανεώνονται συνεχώς μέσω μία βάσης δεδομένων για τις νέες επιθέσεις που εμφανίζονται στον κόσμο.
Ενδεικτικά σας παραθέτουμε μία λίστα με 8 κορυφαία προγράμματα καθώς επίσης και ένα πίνακα με τα χαρακτηριστικά τους και τις τιμές τους.
- McAfee NSP
- Trend Micro TippingPoint
- Darktrace Enterprise Immune System
- Cisco Firepower NGIPS
- AT&T Cybersecurity
- Palo Alto Networks Threat Prevention
- NSFocus NGIPS
- Blumira Automated Detection & Response
Συγκριτικός πίνακας:
Χαρακτηριστικά | McAfee NSP | Trend Micro TippingPoint | Darktrace Enterprise Immune System | Cisco Firepower NGIPS | AT&T USM | Palo Alto Networks Threat Prevention | Blumira Automated Detection & Response | NSFocus NGIPS |
Signature based | Ναι | Όχι | Όχι | Ναι | Ναι | Ναι | Όχι | Ναι |
Anomaly based | Ναι | Ναι | Όχι | Ναι | Ναι | Όχι | Ναι | Ναι |
Cloud compatible | Ναι | Ναι | Ναι | Ναι | Ναι | Ναι | Ναι | Ναι |
Τιμή | Από $10.995 | Από $6.000 | Τιμές κατόπιν ζήτησης. περίπου ανάμεσα $10.000 και $20.000 | Το Firepower 4120 πωλείται περίπου $100.000 | Από $5.595 | Κατόπιν ζήτησης | Από $1.200/μήνα | Κατόπιν ζήτησης |