Эволюция систем защиты от вторжений (IPS)

Раньше системы защиты от вторжений представляли собой отдельное физическое направление, которым занимались обученные команды сотрудников. В наши дни стратегия развития IPS состоит в переходе на специальное ПО, интегрированное в существующую межсетевую инфраструктуру и контролируемое отделом безопасности.

Учитывая тот факт, что системы защиты от вторжений стали неотъемлемым компонентом IT-безопасности, их развитие дает компаниям возможность выбирать наиболее подходящее решение для конкретной организации.

В общих чертах, назначение систем IPS заключается в выявлении и предотвращении угроз и атак, направленных на системы хранения информации и сетевые ресурсы. Выполняя проверку TCP/IP пакетов и блокируя нежелательный трафик, IPS являются обязательным компонентом инфраструктуры безопасности практически для любой сети. Существует два типа IPS: отдельные (или специальные) и интегрированные.

Отдельные IPS обеспечивают:

  • дополнительный уровень сетевой защиты от вторжений;
  • возможность установки посредством выделенного специализированного оборудования.

Интегрированные IPS предлагают:

  • комплексную систему защиты от вторжений по всей инфраструктуре безопасности;
  • возможность интеграции в существующие узлы безопасности, как правило, в межсетевые экраны.

До недавнего времени наиболее распространенным решением было использование отдельных IPS, сейчас уже прослеживается тенденция интеграции функционала IPS в существующие узлы безопасности. Рассмотрим сильные и слабые стороны отдельных систем IPS. Широкому распространению таких устройств способствовало несколько основных факторов:

Организационный контроль

Ранее: В течение многих лет работа IPS контролировалась отделом или группой сотрудников, в обязанности которых не входила поддержка существующих ключевых узлов безопасности. Межсетевые экраны и виртуальные частные сети относились к компетенции сетевых администраторов, а системами защиты от вторжения занимались отделы безопасности или специальные сотрудники.

Сейчас: Во многих организациях вопросами сетевой безопасности и защиты данных занимается специальный отдел по «сетевой безопасности». За работу IPS отвечают те же сотрудники, что и за функционирование ключевых сетевых узлов безопасности, например, межсетевых экранов.

Быстрое развитие технологии

Ранее: За последние пять лет технология IPS активно развивалась, поэтому многие организации, испытывающие необходимость в установке системы защиты от вторжений, успели сделать ставку на отдельные системы IPS.

Сейчас: Технологии IPS стали более совершенны, функционал защиты от вторжений был добавлен в такие ключевые элементы сетевой инфраструктуры, как межсетевые экраны. Тем не менее, все IPS (как отдельные, так и интегрированные) обладают разными характеристиками, поэтому организации, задумывающиеся об установке системы защиты от вторжений, должны тщательно проанализировать продукты каждого производителя, чтобы определить, соответствуют ли они их потребностям. В наше время использование интегрированных IPS не приводит к снижению уровня безопасности или отсутствию функциональных возможностей.

Опасения в отношении производительности

Ранее: В последние годы организации, рассматривающие интегрированные IPS, выбирали отдельные системы защиты от вторжений, поскольку полагали, что совмещение IPS и межсетевых экранов приведет к потере производительности и, соответственно, эффективности.

Сейчас: Несомненно, эффективность – это важный критерий, который должен быть тщательно проанализирован. Решения разных вендоров имеют разные характеристики, которые могут удовлетворять или не удовлетворять конкретным потребностям компании. Существуют интегрированные IPS, которые могут обеспечивать защиту гигабитных каналов, поэтому их эффективность больше не должна быть препятствием при выборе таких решений.

Преимущества интегрированных IPS

Как отмечают многие IT-аналитики, за последнее время значительно увеличилось количество установок интегрированных IPS. Встраивание функционала IPS в межсетевые экраны становится стандартным решением многих производителей. Среди преимуществ интегрированных IPS можно отметить следующие:

Сокращение затрат

Покупка и установка нескольких устройств безопасности обычно является более дорогостоящей, чем установка комплексного решения. Сокращаются как прямые издержки на покупку оборудования, так и косвенные расходы на обучение сотрудников и техническую поддержку, а также производится дополнительная экономия пространства, кабелей и электроэнергии.

Уменьшение задержек

Назначение IPS и межсетевых экранов заключается в защите трафика и информации, поступающей по каналам Интернет, а также между сетями с разным уровнем конфиденциальности. Поскольку межсетевые экраны проверяют весь трафик, проходящий через них, логично, что IPS также инспектируют соответствующий трафик. Качественные интегрированные решения проверяют трафик лишь один раз, выполняя при этом обе функции и сокращая временные задержки, характерные при выборе отдельных устройств IPS.

Связанная политика безопасности

С увеличением количества отдельных устройств повышается сложность политик и правил, настраиваемых на каждом устройстве, а также возрастает число потенциальных слабых мест в общей инфраструктуре безопасности. Неправильно настроенное устройство повышает вероятность успешной хакерской атаки, либо множественной проверки трафика, а также может привести к проникновению вредоносного ПО в корпоративную сеть. В интегрированных решениях применяется единая связанная политика безопасности, которую проще настраивать и контролировать.

Управление и обучение

Установка нескольких решений различных вендоров повышает сложность технической поддержки и требует комплексной подготовки персонала. Интегрированные решения не только сокращают расходы на поддержку и обучение, но и понижают вероятность ошибок в управлении, поскольку в большинстве случаев межсетевые экраны и системы защиты от вторжений относятся к одной и той же сетевой группе безопасности.

Установка IPS

В силу того, что межсетевые экраны в современных интегрированных сетях устанавливаются во многих местах, добавление к ним функционала IPS сокращает финансовые и организационные проблемы, связанные с покупкой и внедрением дополнительных устройств.

Когда требуется установка отдельных IPS

Несмотря на тот факт, что в будущем ожидается постепенный переход на интегрированные IPS, все же остаются некоторые ситуации, в которых требуется установка отдельных IPS. Они рекомендуются для тех частей сети, где не устанавливаются межсетевые экраны: если трафик, проходящий между определенными компонентами сети, не защищается межсетевым экраном, то в них желательно установить отдельные устройства IPS. Кроме того, если поддержка функционала IPS и межсетевых экранов относится к разным сетевым группам безопасности, то использование отдельного устройства IPS может быть обосновано в силу практических причин, даже при более уместном интегрированном решении.

Выводы

Организациям, которые выбирают между отдельными и интегрированными системами защиты от вторжений, необходимо тщательно изучить решения конкурирующих вендоров, чтобы получить желаемый уровень безопасности и эффективности.

Лидирующим продуктом в сфере интегрированных IPS является Check Point IPS Software Blade, который совмещает функционал IPS, межсетевых экранов и других сервисов безопасности, например, таких как URL Filtering, Antivirus, Application Control и DLP. Это решение, изначально создаваемое интегрированным, предназначено для защиты от разнообразного спектра угроз в самых производительных сетях. Помимо этого, Check Point IPS Software Blade предусматривает возможность установки на существующих узлах безопасности Check Point при помощи добавления соответствующих лицензий. Среди продуктов Check Point есть также отдельное решение IPS – устройство Check Point IPS-1. Оба этих решения могут управляться при помощи одной консоли, обеспечивая централизованное  управление и единую отчетность.

Отдельное устройство с функционалом IPS представлено также производителем StoneSoft Corporation. Сертифицированная ФСТЭК система предотвращения вторжений StoneGate IPS отличается эффективностью, высокой производительностью и простым, интуитивно понятным интерфейсом управления.

Более подробную информацию о продуктах Check Point IPS Software Blade, Check Point IPS-1 и StoneGate IPS, стоимости и условиях поставки Вы сможете получить, обратившись по адресу info@sovit.net, заполнив форму обратной связи или позвонив по телефону +7 (495) 120-2530.