IDS – що це таке? Як працює ця система? Системи виявлення вторгнень – це програмні або апаратні засоби виявлення атак і шкідливих дій. Вони допомагають мереж і комп’ютерних систем давати їм належну відсіч. Для досягнення цієї мети IDS здійснює збір інформації з численних системних або мережевих джерел. Потім система IDS аналізує її на предмет наявності атак. У даній статті буде зроблена спроба відповісти на питання: “IDS – що це таке і для чого вона потрібна?”
Для чого потрібні системи виявлення вторгнень (IDS)
Інформаційні системи і мережі постійно піддаються кібер-атакам. Брандмауерів і антивірусів для відображення всіх цих атак виявляється явно недостатньо, оскільки вони лише здатні захистити «парадний вхід» комп’ютерних систем і мереж. Різні підлітки, які вважають себе хакерами, безперервно нишпорять по інтернету в пошуках щілин в системах безпеки.
Завдяки всесвітній павутині в їх розпорядженні дуже багато абсолютно безкоштовного шкідливого софту – всяких слеммеров, слепперов і тому подібних шкідливих програм. Послугами професійних зломщиків користуються конкуруючі компанії для нейтралізації один одного. Так що системи, які виявляють вторгнення (intrusion detection systems), – нагальна необхідність. Не дивно, що з кожним днем вони все більш широко використовуються.
Елементи IDS
До елементів IDS відносяться:
- детекторная підсистема, мета якої – накопичення подій мережі або комп’ютерної системи;
- підсистема аналізу, яка виявляє кібер-атаки і сумнівну активність;
- сховище для накопичення інформації про події, а також результати аналізу кібер-атак і несанкціонованих дій;
- консоль управління, за допомогою якої можна задавати параметри IDS, стежити за станом мережі (чи комп’ютерної системи), мати доступ до інформації про виявлені підсистемою аналізу атаки і неправомірні дії.
До речі, багато хто може запитати: “Як перекладається IDS?” Переклад з англійської звучить як “система, яка застає на гарячому непроханих гостей”.
Основні завдання, які вирішують системи виявлення вторгнень
Система виявлення вторгнень має дві основні задачі: аналіз джерел інформації та адекватна реакція, заснована на результатах цього аналізу. Для виконання цих завдань система IDS здійснює наступні дії:
- моніторить і аналізує активність користувачів;
- займається аудитом конфігурації системи і її слабких місць;
- перевіряє цілісність найважливіших системних файлів, а також файлів даних;
- проводить статистичний аналіз станів системи, заснований на порівнянні з тими станами, які мали місце під час вже відомих атак;
- здійснює аудит операційної системи.
Що може забезпечити система виявлення вторгнень і що їй не під силу
З її допомогою можна домогтися наступного:
- поліпшити параметри цілісності мережевої інфраструктури;
- простежити активність користувача від моменту його входження в систему і до моменту нанесення їй шкоди або проведення будь-яких несанкціонованих дій;
- розпізнати й оповістити про змінення або видалення даних;
- автоматизувати завдання моніторингу інтернету з метою пошуку останніх атак;
- виявити помилки в конфігурації системи;
- виявити початок атаки й оповістити про це.
Система IDS це зробити не може:
- заповнити недоліки в мережевих протоколах;
- зіграти компенсаторну роль у разі наявності слабких механізмів ідентифікації і аутентифікації в мережах або комп’ютерних системах, які вона моніторить;
- також слід зауважити, що IDS не завжди справляється з проблемами, пов’язаними з атаками на пакетному рівні (packet-level).
IPS (intrusion prevention system) – продовження IDS
IPS розшифровується як “запобігання вторгнення в систему”. Це розширені, більш функціональні різновиди IDS. IDS IPS реактивні системи (на відміну від звичайного). Це означає, що вони можуть не тільки виявляти, записувати і оповіщати про атаку, але також і виконувати захисні функції. Ці функції включають скидання з’єднань і блокування надходять пакетів трафіку. Ще однією відмінною рисою IPS є те, що вони працюють в режимі онлайн і можуть автоматично блокувати атаки.
Підвиди IDS за способом моніторингу
NIDS (тобто IDS, які моніторять всю мережа (network)) займаються аналізом трафіку всієї підмережі і управляються централізовано. Правильним розташуванням декількох NIDS можна домогтися моніторингу досить великий за розміром мережі.
Вони працюють в неразборчивом режимі (тобто перевіряють всі вступники пакети, а не роблять це вибірково), порівнюючи трафік підмережі з відомими атаками зі своєї бібліотеки. Коли атака ідентифікована або ж виявлена несанкціонована активність, адміністратору надсилається сигнал тривоги. Однак слід згадати, що у великій мережі з великим трафіком NIDS іноді не справляються з перевіркою всіх інформаційних пакетів. Тому існує ймовірність того, що під час «години пік» вони не зможуть розпізнати атаку.
NIDS (network-based IDS) – це ті системи, які легко вбудовувати в нові топології мережі, оскільки особливого впливу на їх функціонування вони не надають, будучи пасивними. Вони лише фіксують, записують і сповіщають, на відміну від реактивного типу систем IPS, про яких йшлося вище. Проте потрібно також сказати про network-based IDS, що це системи, які не можуть виробляти аналіз інформації, підданій шифруванню. Це істотний недолік, оскільки через все більш широкого впровадження віртуальних приватних мереж (VPN) шифрована інформація все частіше використовується кіберзлочинцями для атак.
Також NIDS не можуть визначити, що сталося в результаті атаки, вона завдала шкоди чи ні. Все, що їм під силу, – це зафіксувати її початок. Тому адміністратор змушений самостійно перевіряти кожен випадок атаки, щоб упевнитися в тому, що атакуючі домоглися свого. Ще однією суттєвою проблемою є те, що NIDS з працею фіксує атаки за допомогою фрагментованих пакетів. Вони особливо небезпечні, оскільки можуть порушити нормальну роботу NIDS. Що це може означати для всієї мережі або комп’ютерної системи, пояснювати не потрібно.
HIDS (host intrusion detection system)
HIDS (IDS, які моніторять хост (host)) обслуговують лише конкретний комп’ютер. Це, природно, забезпечує набагато більш високу ефективність. HIDS аналізують два типи інформації: системні логи і результати аудиту операційної системи. Вони роблять знімок системних файлів і порівнюють його з більш раннім знімком. Якщо критично важливі для системи файли були змінені або видалені, то тоді адміністратору надсилається сигнал тривоги.
Істотною перевагою HIDS є здатність виконувати свою роботу в ситуації, коли мережевий трафік піддається шифровці. Таке можливо завдяки тому, що знаходяться на хост (host-based) джерела інформації можна створювати перед тим, як дані піддаються шифруванню, або після їх розшифрування на хост призначення.
До недоліків даної системи можна віднести можливість її блокування або навіть заборони за допомогою певних типів DoS-атак. Проблема тут у тому, що сенсори і деякі засоби аналізу HIDS знаходяться на хості, який піддається атаці, тобто їх теж атакують. Той факт, що HIDS користуються ресурсами хостів, роботу яких вони моніторять, теж складно назвати плюсом, оскільки це, природно, зменшує їх продуктивність.
Підвиди IDS з методів виявлення атак
Метод аномалій, метод аналізу сигнатур і метод політик – такі підвиди з методів виявлення атак має система IDS.
Метод аналізу сигнатур
В цьому випадку пакети даних перевіряються на наявність сигнатур атаки. Сигнатура атаки – це відповідність події одному із зразків, що описують відому атаку. Цей метод досить ефективний, оскільки при його використанні повідомлення про помилкові атаки досить рідкісні.
Метод аномалій
За його допомогою виявляються неправомірні дії в мережі і на хостах. На підставі історії нормальної роботи системи та мережі створюються спеціальні профілі з даними про це. Потім у гру вступають спеціальні детектори, які аналізують події. За допомогою різних алгоритмів вони виробляють аналіз цих подій, порівнюючи їх з «нормою» в профілях. Відсутність потреби накопичувати величезну кількість сигнатур атак – безсумнівний плюс цього методу. Однак чимала кількість помилкових сигналів про атаки при нетипових, але цілком законних події в мережі – це безсумнівний його мінус.
Метод політик
Ще одним методом виявлення атак є метод політик. Суть його – у створенні правил мережевої безпеки, в яких, наприклад, може зазначатися принцип взаємодії мереж між собою і використовувані при цьому протоколи. Цей метод перспективний, однак складність полягає у досить непростому процесі створення бази політик.
ID Systems забезпечить надійним захистом ваші мережі і комп’ютерні системи
Група компаній ID Systems на сьогоднішній день є одним з лідерів ринку в області створення систем безпеки для комп’ютерних мереж. Вона забезпечить вас надійним захистом від кібер-злочинців. З системами захисту ID Systems ви зможете не переживати важливі для вас дані. Завдяки цьому ви зможете більше насолоджуватися життям, оскільки у вас на душі буде менше тривог.
ID Systems – відгуки співробітників
Прекрасний колектив, а головне, звичайно, – це правильне ставлення керівництва компанії до своїх співробітників. У всіх (навіть неоперених новачків) є можливість професійного зростання. Правда, для цього, природно, потрібно проявити себе, і тоді все вийде.
В колективі здорова атмосфера. Новачків завжди всьому навчать і все покажуть. Ніякої нездорової конкуренції не відчувається. Співробітники, які працюють в компанії вже багато років, з радістю діляться всіма технічними тонкощами. Вони доброзичливо, навіть без тіні зверхності відповідають на найдурніші запитання недосвідчених працівників. Загалом, від роботи ID Systems одні приємні емоції.
Ставлення керівництва приємно радує. Також радує те, що тут, очевидно, вміють працювати з кадрами, тому що колектив дійсно високопрофесійний підібрався. Думка співробітників практично однозначно: вони відчувають себе на роботі як вдома.