Системы предотвращения вторжений готовы к выходу на рынок

Камерон Стардевант

Термин "бюллетень безопасности" (security bulletin) все больше теряет смысл по мере того, как сообщения о брешах в защите и использующих их червях и вирусах становятся повседневным явлением для ИТ-сообщества. Недостаточно получить сигнал тревоги при возникновении проблемы. Менеджеры отделов ИТ должны решать проблемы прежде, чем они нанесут ущерб сети.

Установите IPS

IPS (Intrusion Prevention Systems - системы предотвращения вторжений) часто обращаются к той же технологии, что и IDS (Intrusion Detection Systems - системы обнаружения вторжений), но при этом они кардинально отличаются от своих предшественников.

IDS просто сообщают о возникновении проблем с контролируемыми ими портами, а IPS в отличие от них функционируют в реальном времени, нередко обрабатывают потоки со скоростью передачи данных и настроены на подавление вредного трафика в сети. Таким образом, складывающийся рынок IPS серьезно повлияет на развитие межсетевых экранов, систем управления исправлениями ПО и антивирусных программ. Эти системы стирают границу между управлением сетью и управлением безопасностью, которые перестают быть различными видами работы.

IPS появились в 2002 г. и все еще сравнительно дороги - около 100 000 долл. Кроме того, большинство данных систем должны использоваться совместно с охраняющим периметр брандмауэром. Это означает не только дополнительные затраты на его приобретение, но и новые текущие расходы на управление и эксплуатацию. Однако общая стоимость управления IPS старшего класса будет ниже, чем у IDS: если IPS предпринимает действия самостоятельно, то IDS обычно лишь посылает тревожное сообщение сотруднику службы ИТ, которое он должен оценить и принять необходимые меры.

Прогресс в области IPS, достигнутый такими фирмами-производителями, как TippingPoint Technologies, McAfee (подразделение компании Network Associates) и NetScreen Technologies, стал возможен благодаря двум обстоятельствам.

Во-первых, резко возросла производительность таких компонентов оборудования, как вентильные матрицы с эксплуатационным программированием и тернарная ассоциативная память. Во-вторых, IPS весьма успешно обнаруживают опасный трафик - гораздо успешнее, чем это делают IDC при распознавании на основе сигнатур. Сегодня IPS могут обрабатывать содержание пакетов, а не только их заголовки, лучше отслеживают состояние сетевых соединений и пресекают атаки типа DoS ("отказ в обслуживании"), быстро идентифицируя "злонамеренные" соединения.

Несмотря на такие усовершенствования, IPS часто не соответствуют рекламным уверениям, что это системы типа "установил и забыл". На самом деле их необходимо периодически настраивать, чтобы ненароком не подавить "хороший" трафик. Данная задача может быть чрезвычайно трудной, поскольку нет двух одинаковых компаний и практически нет трафика, который является "плохим" или "хорошим" по своей сути.

Настройка оправдывает затраченные усилия, потому что каждая распознанная с помощью IPS атака означает, что нападение было пресечено прежде, чем достигло уязвимой системы. Хотя мы не знакомы с исследованиями, определяющими связанную с установкой IPS экономию, хорошо известно, что пресечение атаки как можно ближе к пункту ее возникновения ощутимо снижает затраты на ликвидацию ее последствий и общие управленческие расходы. В частности, сетевая IPS должна пресекать трафик, вызванный DoS-атаками, на внешнем периметре корпоративной сети.

IPS также несколько упростит персоналу ИТ-служб управление исправлениями ПО. Тестирование и исследования в лаборатории eWeek показали, что IPS может защитить и неисправленные системы. Заплатки, разумеется, все равно должны быть установлены, но IPS дает ИТ-персоналу больше времени для их тщательного тестирования и составления расписания установки.

Мы считаем, что менеджерам ИТ следует рассматривать IPS в качестве находящегося в процессе становления многообещающего способа отсечь вредный трафик, используя другие средства обеспечения безопасности, чтобы контролировать доступ к сети.

Меняющийся характер проблемы безопасности

Мы также рекомендуем менеджерам обратить пристальное внимание на изменение задач в области обеспечения безопасности.

Правила безопасности, вероятно, переместятся на более высокий уровень в пирамиде задач, а рутинные операции по обеспечению безопасности отойдут в ведение подразделений ИТ. Средства управления IPS не менее важны, чем их скорость и настройки.

Возможность безопасно распределять обновления для IPS-систем, разбросанных по всему предприятию, особенно если речь идет о специализированных устройствах, часто зависит от того, установлены они по периметру сети или в центре обработки данных (ЦОД).

Одна из главных задач, которую необходимо решить перед установкой IPS, - это определение объема трафика в сети как по периметру, так и внутри ЦОД. Большинство производителей IPS предлагают семейства продуктов, ориентированных на различные нужды, включая гигабитные устройства для использования в ЦОД.

Другой момент, который должны выяснить ИТ-менеджеры перед закупкой IPS, - это масштабы ожидаемых изменений в сети, особенно в характере трафика. Чем чаще меняется характер трафика, тем труднее реализовать эффективную IPS.

Большинство систем безопасности, от межсетевых экранов до VPN, лучше функционируют, если в сеть вносятся только ограниченные усовершенствования. Однако для IPS это особенно важно. Поскольку при добавлении трафика должны меняться фильтры, IPS может стать камнем преткновения для быстрой модернизации сети.

Тем не менее, по нашему мнению, IPS окажут положительное влияние на безопасность сетей и в конечном итоге упростят управление инфраструктурой ИТ.