БЕЗОПАСНОСТЬ
Новинки NFR и V-Secure подстраивают уровень защиты автоматически
Деннис Фишер
Пока крупные производители выжимают из своих систем предотвращения взломов максимальное быстродействие, их младшие коллеги стараются добавить таким решениям интеллектуальности. Их разработки, в частности, учатся динамически корректировать уровень защиты и блокировать уязвимые ресурсы еще до того, как на них нападут хакеры.
Технологию адаптивной фильтрации и функции автоматизации уже реализуют в своей продукции фирмы NFR Security и V-Secure Technologies. Тем самым они стремятся облегчить бремя администраторов систем безопасности, сняв с них задачи тонкой настройки и повседневного обслуживания решений IPS (Intrusion Protection System - система предотвращения вторжений). Подходы этих фирм к IPS несколько различаются, но цель у них одна: обеспечить надежную защиту серверов за счет снижения времени реагирования на автоматизированные атаки.
Анонсированная в марте система Sentivist 5.0 фирмы NFR собирает данные обо всех изменениях в сети и одновременно проверяет потенциально уязвимые места, сопоставляя полученные таким образом данные с информацией датчиков IPS. Этот процесс разработчики назвали динамической защитой сетевых ресурсов (Dynamic Shielding). В состав Sentivist входит центр защиты Protection Center, или консоль управления, механизм защиты Protection Engine, профилировщик сети Network Profiler, а также несколько интеллектуальных датчиков Smart Sensors, которые размещаются в стратегически важных точках сети.
Тесно взаимодействуя между собой, эти компоненты сопоставляют данные о происходящих по всей корпоративной сети событиях, выявляют связь между ними и определяют, не нужно ли принимать какие-либо корректирующие меры.
Когда, скажем, производится разведка сети, хакер зондирует несколько ее ресурсов. Централизованная система предупреждения взломов восприняла бы такой трафик как не связанные между собой обращения к каждому серверу в отдельности, но Sentivist ведет себя по-другому. Эта программа производит высокоуровневую корреляцию всех подобных запросов и, если обнаруживает, что они исходят с одного и того же IP-адреса, полностью блокирует весь трафик с него, причем без участия администратора.
Технология Dynamic Shielding самостоятельно выявляет новые сетевые ресурсы и автоматически начинает защищать их от трафика до тех пор, пока там не будут установлены требуемые заплаты и проведены необходимые настройки. В дополнение ко всему Sentivist наглядно демонстрирует, насколько серьезны попытки вторжения. Это достигается с помощью так называемого индекса доверительности (Confidence Indexing), позволяющего дать каждому зарегистрированному событию количественную оценку.
По мнению пользователей, предусмотренная в Sentivist автоматическая подстройка - именно то, ради чего и создаются системы предотвращения взломов.
"Эта концепция просто феноменальна. Большинство подобных систем требует скрупулезной ручной настройки, а эта избавляет от нее, - считает Брайан Филипс, директор технических операций фирмы Network System Technologies, где используются и другие продукты NFR. - Все остальные схемы защиты рассчитаны на статичные среды, которых просто не существует в природе. Необходимость такой концепции ясна всем".
В широкой продаже Sentivist 5.0 появится нынешним летом.
Свежую версию своей известной системы предотвращения взломов V-Secure IPS 8.0 представила в феврале и фирма V-Secure. Главное отличие новинки от предшественниц - использование предназначенного для обнаружения атак механизма с открытым кодом Snort. Благодаря такому дополнению восьмая версия пакета сможет выявлять и отражать атаки на основании сигнатур и аномалий.
Кроме того, здесь используется технология под названием Adaptive Smart Dynamic Filter (адаптивный интеллектуальный динамический фильтр). Она позволяет автоматически вносить изменения системы безопасности, проверенные в одной части сети, в другие ее сегменты.
Обнаружив, например, попытку проникновения на сервер баз данных через порт 443, система может блокировать такой трафик по всем портам, а затем применить аналогичную защиту на всех серверах БД сети.
Как заявили представители V-Secure, в ближайшее время будет объявлено о заключении партнерских соглашений с производителями многофункциональных устройств. В рамках партнерства те смогут дополнить свою продукцию средствами предотвращения взломов на базе технологии V-Secure. Уже подписаны два контракта.
Врезка Что предлагают пользователям новые решения IPS
- Sentivist 5.0: технологию динамической защиты Dynamic Shielding, метакорреляцию сетевых событий, интеграцию со сканерами Nessus и Network Vulnerability Observer.
- V-Secure IPS 8.0: встроенный механизм Snort IDS, технологию адаптивной динамической фильтрации Adaptive Smart Dynamic Filter, сопоставление сигнатур с выявленными аномалиями.
