Меню
ГлавнаяИгры

Система IPS — современное средство создания электронных архивов, систем документооборота, PDM и PLM. Система предотвращения вторжений

Система предотвращения вторжений (англ. Intrusion Prevention System , IPS) - программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.

Энциклопедичный YouTube

    1 / 5

    Основы работы IPS

    Анализ защищенности сетевой инфраструктуры

    Система обнаружения атак «Форпост» и решения

    Контроль приложений с помощью сервисов FirePOWER

    Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поколения

    Субтитры

Классификация

    Сетевые IPS (Network-based Intrusion Prevention, NIPS ): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

  • IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS ): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине , спуфинг mac-адресов.
  • Анализатор поведения сети (Network Behavior Analysis, NBA ): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
  • IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS ): резидентные программы, обнаруживающие подозрительную активность на компьютере.

    • История разработок

    История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:

  1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
  2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
  3. Недопущение переполнения буфера у наиболее распространенных программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
  4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети.

Анализ сетевых пакетов

Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса , поразивший подключенные к сети Unix -компьютеры ноября 1988 года.

По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986-го по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet , используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало все, что было связано с Стратегической оборонной инициативой президента Рейгана) . Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов , как первых систем обнаружения и фильтрации угроз.

Анализ программ и файлов

Эвристические анализаторы

Поведенческий блокиратор

С появлением новых видов угроз вспомнили о поведенческих блокираторах.

Первое поколение поведенческих блокираторов появилось ещё в середине 90-х годов. Принцип их работы - при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого - как известного, так и неизвестного - вируса . Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого - неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA , можно с очень большой вероятностью отличить вредоносные действия от полезных.

Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.

Тестирование от Current Analysis

В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков - компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

Для участников были сформулированы требования:

  1. Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
  2. Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
  3. Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи .
  4. Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.

После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems , продукт получил название Cisco Security Agent).

Дальнейшее развитие

В 2003 г. был опубликован отчёт компании Gartner , в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.

Методы реагирования на атаки

После начала атаки

Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного выполнения защищаемой системе может быть нанесён ущерб.

Блокирование соединения

Если для атаки используется TCP -соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.

Метод характеризуется двумя основными недостатки:

  1. Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
  2. Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.

Блокирование записей пользователей

Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.

Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.

Блокирование хоста компьютерной сети

Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:

  • на который будут поступать команды об изменении конфигурации МЭ.
  • который будет редактировать конфигурации МЭ для модификации его параметров.
    • Активное подавление источника атаки

    Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.

    Такой метод реализован в нескольких некоммерческих ПО:

    • NetBuster предотвращает проникновение в компьютер «Троянского коня» . Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
    • Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.

    Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.

    В начале атаки

    Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.

    С помощью сетевых датчиков

    Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.

    Анализ пакетов проводится на основе сигнатурного или поведенческого методов.

В статье рассматриваются популярные IPS-решения в контексте мирового и российского рынков. Дается определение базовой терминологии, история возникновения и развития IPS-решений, а также рассматривается общая проблематка и сфера применения IPS-решений. Также приводится сводная информация о функциональных возможностях наиболее популярных IPS-решений от различных производителей.

Что такое IPS?

Прежде всего, дадим определение. Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства, предназначенные для обнаружения и/или предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

IDS/IPS-системы используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например: попытки использования уязвимостей программного обеспечения; попытки повешения привилегий; несанкционированный доступ к конфиденциальным данным; активность вредоносных программ и т.д.

Использование IPS-систем преследует несколько целей:

  • Обнаружить вторжение или сетевую атаку и предотвратить их;
  • Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития;
  • Выполнить документирование существующих угроз;
  • Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
  • Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;
  • Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

В целом, IPS аналогичны IDS. Главное же отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

IDS, в свою очередь, обычно состоит из:

  • системы сбора событий;
  • системы анализа собранных событий;
  • хранилища, в котором накапливаются собранные события и результаты их анализа;
  • базы данных об уязвимостях (этот параметр является ключевым, так как чем больше база у производителя, тем больше угроз способна выявлять система);
  • консоли управления, которая позволяет настраивать все системы, осуществлять мониторинг состояния защищаемой сети, просматривать выявленные нарушения и подозрительные действия.

По способам мониторинга IPS-системы можно разделить на две большие группы: NIPS (Network Intrusion Prevention System) и HIPS (Host Intrusion Prevention System). Первая группа ориентирована на сетевой уровень и корпоративный сектор, в то время как представители второй имеют дело с информацией, собранной внутри единственного компьютера, а следовательно могут использоваться на персональных компьютерах. Сегодня HIPS часто входят в состав антивирусных продуктов, поэтому, в контексте данной статьи, эти системы мы рассматривать не будем.

Среди NIPS и HIPS также выделяют:

  • Protocol-based IPS, PIPS. Представляет собой систему (либо агент), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.
  • Application Protocol-based IPS, APIPS. Представляет собой систему (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, отслеживание содержимого SQL-команд.

Что касается форм-фактора, IPS-системы могут быть представлены как в виде отдельного «железного» решения, так и в виде виртуальной машины или софта.

Развитие технологии. Проблемы IPS.

Системы предотвращения вторжений появились на стыке двух технологий: межсетевых экранов (firewall) и систем обнаружения вторжений (IDS). Первые умели пропускать трафик через себя, но анализировали лишь заголовки IP-пакетов. Вторые же, напротив, «умели» всё то, чего были лишены межсетевые экраны, то есть анализировали трафик, но не могли как-либо влиять на ситуацию, так как устанавливались параллельно и трафик через себя не пропускали. Взяв лучшее от каждой технологии, появились IPS-системы.

Становление современных IPS-систем, шло через четыре направления. Так сказать, от частного к общему.

Первое направление – развитие IDS в inline-IDS. Другими словами, необходимо было встроить IDS-систему в сеть не параллельно, а последовательно. Решение оказалось простым и эффективным: IDS поместили между защищаемыми и незащищаемыми ресурсами. Из этого направления, вероятнее всего, развились программные варианты IPS

Второе направление становления IPS не менее логичное: эволюция межсетевых экранов. Как вы понимаете, им не хватало глубины анализа пропускаемого через себя трафика. Добавление функционала глубокого проникновения в тело данных и понимания передаваемых протоколов позволило стать межсетевым экранам настоящими IPS-системами. Из этого направления, вероятнее всего, развились аппаратные IPS.

Третьим «источником» стали антивирусы. От борьбы с «червями», «троянами» и прочими вредоносными программами до IPS-систем оказалось совсем недалеко. Из этого направления, вероятнее всего, развились HIPS.

Наконец, четвёртым направлением стало создание IPS-систем «с нуля». Здесь, собственно, и добавить нечего.

Что же касается проблем, у IPS, как и у любых других решений, они были. Основных проблем выделяли три:

  1. большое количество ложных срабатываний;
  2. автоматизация реагирования;
  3. большое число управленческих задач.

С развитием систем, эти проблемы успешно решались. Так, к примеру, для снижения процента ложных срабатываний начали применять системы корреляции событий, которые «выставляли приоритеты» для событий и помогали IPS-системе эффективнее выполнять свои задачи.

Всё это привело к появлению IPS-систем следующего поколения (Next Generation IPS – NGIPS). NGIPS должна обладать следующими минимальными функциями:

  • Работать в режиме реального времени без воздействия (или с минимальным воздействием) на сетевую активность компании;
  • Выступать в качестве единой платформы, объединяющей в себе как все преимущества предыдущего поколения IPS, так и новые возможности: контроль и мониторинг приложений; использование информации из сторонних источников (базы уязвимостей, геолокационные данные и т.д.); анализ содержимого файлов.

Рисунок 1. Функциональная схема эволюционных этапов IPS-систем

Мировой и российский рынок IPS. Основные игроки, различия.

Говоря о мировом рынке IPS-систем, эксперты часто ссылаются на отчёты Gartner, и в первую очередь на «волшебный квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2012). На 2012 год ситуация была такова:

Рисунок 2. Распределение основных игроков рынка IPS-систем в мире. Информация Gartner, июль 2012

Прослеживались явные лидеры в лице McAfee, Sourcefire и HP, к которым очень стремилась всем известная Cisco. Однако лето 2013 внесло свои коррективы. Вначале мая по различным тематическим блогам и форумам пронеслась волна обсуждений, поднятая анонсом сделки между McAfee и Stonesoft. Американцы собирались купить финского «визионера», громко заявившего о себе несколько лет назад, открыв новый вид атак AET (Advanced Evasion Techniques).

Тем не менее, на этом сюрпризы не закончились и, буквально спустя пару месяцев, корпорация Cisco объявила о заключении соглашения с Sourcefire и покупке этой компании за рекордные $2.7 млрд. Причины были более чем весомые. Sourcefire известна своей поддержкой двух разработок с открытым кодом: механизма обнаружения и предотвращения вторжений Snort и антивируса ClamAV. При этом технология Snort стала стандартом де-факто для систем предупреждения и обнаружения вторжений. Суть же в том, что на российском рынке Cisco Systems является основным поставщиком решений по сетевой безопасности. Она одной из первых пришла на российский рынок, ее сетевое оборудование стоит практически в каждой организации, соответственно, нет ничего необычного в том, что решения по сетевой безопасности также заказывают у этой компании.

Кроме того, Cisco Systems ведет очень грамотную деятельность по продвижению своей линейки безопасности на российском рынке. И в настоящий момент ни одна компания не может сравниться с Cisco Systems по уровню работы с рынком, как в маркетинговом плане, так и в плане работы с партнерами, госорганизациями, регуляторами и пр. Отдельно стоит отметить, что данная компания уделяет очень большое внимание вопросам сертификации по российским требованиям, тратя на них намного больше, чем другие западные производители, что также способствует сохранению лидирующего положения на российском рынке. Выводы, как говорится, делайте сами.

И, если с мировым рынком IPS-систем всё более-мене понятно, – в скором времени произойдёт «перетасовка» лидеров – то с российским рынком не всё так просто и прозрачно. Как уже было отмечено выше, отечественный рынок имеет свою специфику. Во-первых, большую роль играет сертификация. Во-вторых, если процитировать Михаила Романова , являющегося одним из авторов глобального исследования «Рынок информационной безопасности Российской Федерации», то «конкурентоспособные IPS-решения российского производства фактически отсутствуют. Автору известны только три российских решения данного типа: «Аргус», «Форпост» и «РУЧЕЙ-М» (не позиционируется как IPS). Найти «Аргус» или «РУЧЕЙ-М» в Интернете и купить не представляется возможным. Решение «Форпост» производства компании РНТ, позиционируется как сертифицированное решение, полностью основанное на коде SNORT (и этого разработчики не скрывают). Разработчик не предоставляет свое решение на тестирование, продукт никак не продвигается на рынке, то есть создается впечатление, что РНТ продвигает его только в собственные проекты. Соответственно, увидеть эффективность этого решения не представляется возможным».

К упомянутым трём системам можно также отнести комплекс «РУБИКОН», который позиционируется компанией «Эшелон» не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений. К сожалению, информации по нему не так много .

Последнее решение от российского производителя, которое удалось найти – IPS-система (входит в UTM-устройство ALTELL NEO), представляющая собой, по их словам, «доработанную» открытую технологию Surricata, которая использует актуальные базы сигнатур из открытых источников (National Vulnerability Database и Bugtrax). Всё это вызывает больше вопросов, чем понимания.

Тем не менее, исходя из предложений интеграторов, можно продолжить список предлагаемых на российском рынке IPS-систем и дать краткое описание для каждого из решений:

Cisco IPS (сертифицирован ФСТЭК)

Являясь частью Cisco Secure Borderless Network, Cisco IPSпредоставляет следующие возможности:

  • Предотвращение вторжения более 30000 известных эксплоитов;
  • Автоматическое обновление сигнатур с глобального сайта Cisco Global Correlation для динамического распознавания и предотвращения вторжений атак со стороны Internet;
  • Передовые исследования и опыт Cisco Security Intelligence Operations;
  • Взаимодействие с другими сетевыми компонентами для предотвращения вторжений;
  • Поддержка широкого спектра вариантов развертывания в режиме, близком к реальному времени.

Всё это позволяет защитить сеть от таких атак, как:

  • Прямые атаки (directed attacks);
  • Черви, вирусы (worms);
  • Ботнет сети (botnets);
  • Вредоносные программы (malware);
  • Заражённые приложения (application abuse).

Sourcefire IPS, Adaptive IPS и Enterprise Threat Management

Среди главных преимуществ выделяют:

  • Разработка систем на основе SNORT;
  • Гибкие правила;
  • Интеграция с MSSP;
  • Технология пассивной прослушки (нулевое влияние на сеть);
  • Работа в реальном масштабе времени;
  • Поведенческое обнаружение аномалий в сети (NBA);
  • Персонализация событий.

McAfee Network Security Platform (ранее, IntruShield Network Intrusion Prevention System) (сертифицирован ФСТЭК)

Преимущества решения:

  • Интеллектуальное управление безопасностью

Решение позволяет сократить число специалистов и затраты времени, необходимые для мониторинга и расследования событий безопасности, и одновременно упрощает управление сложными масштабными развертываниями. Благодаря направляемому детальному анализу метод последовательного раскрытия обеспечивает нужную информацию именно тогда и там, где она нужна, а иерархическое управление обеспечивает масштабирование.

  • Высокий уровень защиты от угроз

Защита от угроз обеспечивается благодаря ядру сигнатур на основе анализа уязвимостей, которое преобразовано в платформу нового поколения путем интеграции самой современной технологии анализа поведения и сопоставления множества событий. «Малоконтактные» средства защиты на основе сигнатур позволяют удерживать операционные затраты на низком уровне и эффективно защищают от известных угроз, а передовая технология анализа поведения и сопоставления событий обеспечивают защиту от угроз следующего поколения и «нулевого дня».

  • Использование глобальной системы защиты от вредоносных программ
  • Инфраструктура Security Connected

Решение улучшает уровень сетевой безопасности, способствует оптимизации системы сетевой безопасности, наращивая ее экономическую эффективность. Кроме того, решение позволяет согласовывать сетевую безопасность с бизнес-программами для достижения стратегических целей.

  • Быстродействие и масштабируемость
  • Сбор информации и контроль. Получение информации о действиях пользователей и устройствах, которая прямо интегрируется в процесс контроля и анализа

Stonesoft StoneGate IPS (сертифицирован ФСТЭК)

В основе работы StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур (виртуальное профилирование).

Особенностью Stonesoft IPS является наличие встроенной системы анализа событий безопасности, которая значительно уменьшает трафик, передаваемый от IPS до системы управления, и количество ложных срабатываний. Первоначальный анализ событий производится сенсором Stonesoft IPS, затем информация от нескольких сенсоров передается на анализатор, который осуществляет корреляцию событий. Таким образом, несколько событий могут указывать на распределенную во времени атаку или на сетевого червя - когда решение о вредоносной активности принимается на основании нескольких событий из «общей картины», а не по каждому отдельному случаю.

Ключевые возможности StoneGate IPS:

  • обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
  • применение фирменной технологии АЕТ (Advanced Evasion Techniques) - технологии защиты от динамических техник обхода;
  • обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
  • возможность обработки фрагментированного сетевого трафика;
  • возможность контроля нескольких сетей с разными скоростями;
  • декодирование протоколов для точного определения специфических атак, в том числе и внутри SSL соединений;
  • возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур из Open Source баз);
  • блокировка или завершение нежелательных сетевых соединений;
  • анализ «историй» событий безопасности;
  • анализ протоколов на соответствие RFC;
  • встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний;
  • создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;
  • дополнительная функциональность прозрачного межсетевого экрана Transparent Access Control, что позволяет в отдельных случаях отказаться от использования МЭ без какого-либо снижения эффективности защиты;
  • анализ GRE туннелей, любых комбинаций инкапсуляции IP v6, IPv4;
  • централизованное управление и мониторинг, простая в использовании и одновременно гибкая в настройке система генерации отчетов.

Детектор атак АПКШ «Континент» (Код Безопасности) (сертифицирован ФСТЭК и ФСБ)

Детектор атак «Континент» предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP. Детектор атак «Континент» реализует функции системы обнаружения вторжений (СОВ) и обеспечивает разбор и анализ трафика с целью выявления компьютерных атак, направленных на информационные ресурсы и сервисы.

Основные возможности детектора атак «Континент»:

  • Централизованное управление и контроль функционирования при помощи центра управления системой «Континент».
  • Сочетание сигнатурных и эвристических методов обнаружения атак.
  • Оперативное реагирование на выявленные вторжения.
  • Оповещение ЦУС о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени.
  • Выявление и регистрация информации об атаках.
  • Анализ собранной информации.

IBM Proventia Network Intrusion Prevention System (сертифицирован ФСТЭК)

Система предотвращения атак Proventia Network IPS предназначена для блокирования сетевых атак и аудита работы сети. Благодаря запатентованной технологии анализа протоколов решение IBM Internet Security Systems обеспечивает превентивную защиту – своевременную защиту корпоративной сети от широкого спектра угроз. Превентивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности GTOC (gtoc.iss.net) и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы X-Force.

Основные возможности Proventia Network IPS:

  • Разбирает 218 различных протоколов включая протоколы уровня приложений и форматы данных;
  • Более 3000 алгоритмов используется при анализе трафика для защиты от уязвимостей;
  • Технология Virtual Patch – защита компьютеров пока не установлены обновления;
  • Режим пассивного мониторинга и два режима установки на канал;
  • Поддержка нескольких зон безопасности одним устройством, включая зоны VLAN;
  • Наличие встроенных и внешних bypass модулей для непрерывной передачи данных через устройство в случае системной ошибки или отключения энергоснабжения;
  • Множество способов реагирования на события, включая логирование пакетов атаки;
  • Контроль утечек информации в данных и в офисных документах передаваемых по пиринговым сетям, службам мгновенных сообщений, веб почте и другим протоколам;
  • Детализированная настройка политик;
  • Запись трафика атаки;
  • Поддержка пользовательских сигнатур;
  • Возможность блокирования новых угроз на основании рекомендаций экспертов X-Force.

Check Point IPS (сертифицирован для межсетевых экранов и для UTM)

Программный блейд Check Point IPS предоставляет исключительные возможности предотвращения вторжений на многогигабитных скоростях. Для достижения высокого уровня сетевой защиты многоуровневый механизм IPS Threat Detection Engine использует множество различных методов обнаружения и анализа, в том числе: использование сигнатур уязвимостей и попыток их использования, выявление аномалий, анализ протоколов. Механизм IPS способен быстро фильтровать входящий трафик без необходимости проведения глубокого анализа трафика, благодаря чему на наличие атак анализируются лишь соответствующие сегменты трафика, что ведет к понижению расходов и повышению точности.

В решении IPS применяются высокоуровневые средства динамического управления компании Check Point, что позволяет графически отображать только значимую информацию, легко и удобно изолировать данные, требующие дальнейших действий со стороны администратора, а также соответствовать нормативным требованиям и стандартам отчетности. Кроме того, решения Check Point IPS - как программный блейд IPS, так и аппаратное устройство Check Point IPS-1 - управляются с помощью единой консоли управления SmartDashboard IPS, что обеспечивает унифицированное управление средствами IPS.

Ключевые преимущества:

  • Полноценные средства защиты IPS – Весь функционал IPS, встроенный в используемый межсетевой экран;
  • Лидерство в отрасли по показателям производительности – Многогигабитная производительность системы IPS и межсетевого экрана;
  • Динамическое управление – Весь набор средств управления, включая представления событий безопасности в режиме реального времени и автоматизированный процесс защиты;
  • Защита между релизами патчей – Повышение уровня защиты в случаях задержки выпуска патчей.

Trend Micro Threat Management System (основано на Smart Protection Network)

Trend Micro Threat Management System - решение для анализа и контроля сети, предоставляющее уникальные возможности в области обнаружения малозаметных вторжений, а также автоматизирующее устранение угроз. Это надежное решение, которое основано на Trend Micro Smart Protection Network (наборе модулей для обнаружения и анализа угроз), а также актуальной информации, полученной исследователями угроз из Trend Micro, обеспечивает наиболее эффективные и современные возможности предотвращения угроз.

Основные преимущества:

  • Более быстрая реакция на возможную потерю данных благодаря раннему обнаружению новых и известных вредоносных программ;
  • Снижение расходов на сдерживание угроз и устранение ущерба, а также сокращение времени простоя благодаря индивидуальному подходу к автоматизированному устранению новых угроз безопасности;
  • Проактивное планирование инфраструктуры безопасности и управление ею благодаря накопленным знаниям о слабых местах сетей и основных причинах угроз;
  • Экономия пропускной способности и ресурсов сети благодаря выявлению приложений и служб, нарушающих функционирование сети;
  • Упрощенное управление угрозами и информацией о нарушениях системы безопасности благодаря удобному централизованному порталу управления;
  • Невмешательствов работу существующих служб благодаря гибкой системе развертывания вне полосы пропускания.

Palo Alto Networks IPS

Компания Palo Alto Networks™ является лидером на рынке сетевой безопасности и создателем межсетевых экранов нового поколения. Полная визуализация и контроль всех приложений и контента в сети по пользователю, а не по IP адресу или порту на скоростях до 20Gbps без потери производительности, является основным преимуществом среди конкурентных решений.

Межсетевые экраны Palo Alto Networks, основанные на запатентованной технологии App-ID™, точно идентифицируют и контролируют приложения – вне зависимости от порта, протокола, поведения или шифрования – и сканируют содержимое для предотвращения угроз и утечки данных.

Основная идея межсетевых экранов нового поколения, по сравнению с традиционными подходами, в том числе и UTM решениями, заключается в упрощении инфраструктуры сетевой безопасности, устраняет необходимость в различных автономных устройствах безопасности, а также обеспечивает ускорение трафика за счет однопроходного сканирования. Платформа Palo Alto Networks решает широкий спектр требований сетевой безопасности, необходимых различному типу заказчиков: от центра обработки данных до корпоративного периметра с условными логическими границами, включающие в себя филиалы и мобильные устройства.

Межсетевые экраны нового поколения Palo Alto Networks дают возможность идентифицировать и контролировать приложения, пользователей и контент – а не просто порты, IP адреса и пакеты – используя три уникальных технологии идентификации: App-ID, User-ID и Content-ID. Эти технологии идентификации позволяют создавать политики безопасности, разрешающие конкретные приложения, необходимые бизнесу, вместо того, чтобы следовать распространенной концепции – «все или ничего», которую предлагают традиционные межсетевые экраны, основанные на блокировке портов.

HP TippingPoint Intrusion Prevention System

TippingPoint - лучшая в отрасли система предотвращения вторжений (Intrusion Prevention System, IPS), не имеющая себе равных по таким показателям, как обеспечиваемый уровень безопасности, производительность, степень готовности и простота использования. TippingPoint - единственная IPS-система, получившая награду Gold Award организации NSS Group и сертификат Common Criteria - фактически является эталоном в области сетевых средств для предотвращения вторжений.

Основополагающая технология в продуктах TippingPoint - механизм подавления угроз Threat Suppression Engine (TSE), реализованный на базе специализированных интегральных микросхем (ASIC). Благодаря сочетанию заказных ASIC, объединительной панели с пропускной способностью 20 Гбит/c и высокопроизводительных сетевых процессоров механизм TSE обеспечивает полный анализ потока пакетов на уровнях 2-7; при этом задержка прохождения потока через IPS-систему составляет менее 150 мкс вне зависимости от количества примененных фильтров. Таким образом осуществляется непрерывная очистка внутрисетевого и интернет-трафика и безошибочное выявление таких угроз, как черви, вирусы, троянские программы, смешанные угрозы, фишинг, угрозы через VoIP, атаки DoS и DDoS, обход систем защиты, “заходящие черви” (Walk-in-Worms), нелегальное использование пропускной способности канала, прежде чем будет нанесен реальный вред. Кроме того, архитектура TSE классифицирует трафик, что позволяет предоставить наивысший приоритет ответственным приложениям.

TippingPoint обеспечивает также текущую защиту от угроз, обусловленными вновь выявленными уязвимостями. Анализируя такие уязвимости для института SANS, специалисты компании TippingPoint, которые являются основными авторами информационного бюллетеня , публикующего наиболее актуальные сведения о новых и существующих уязвимых местах в системе безопасности сети, одновременно разрабатывают фильтры защиты от атак, ориентированных на данные уязвимости, и включают их в состав очередного выпуска Digital Vaccine («цифровая вакцина»). Вакцины создаются для нейтрализации не только конкретных атак, но и их возможных вариаций, что обеспечивает защиту от угроз типа Zero-Day.

«Цифровая вакцина» доставляется заказчикам еженедельно, а в случае выявления критических уязвимостей - немедленно. Устанавливаться она может автоматически без участия пользователя, что упрощает для пользователей процедуру обновления системы безопасности.

На сегодняшний день флагманским продуктом компании является HP TippingPoin Next-Generation Intrusion Prevention System, позволяющая наиболее эффективно контролировать все уровни сетевой активности компании за счёт:

  • Собственных баз данных Application DV и Reputation DV
  • Принятия решения на основании множества факторов, объединённых системой HP TippingPoin Security Management System;
  • Лёгкой интеграции с другими сервисами HP DVLabs

Выводы

Рынок IPS-систем нельзя назвать спокойным. 2013 год принёс две важные сделки, способные внести серьёзные коррективы, как в российском, так и в мировом масштабе. Речь идёт о противостоянии двух «тандемов»: Cisco+Sourcefire против McAfee+Stonesoft. С одной стороны, Cisco удерживает стабильное первое место на рынке по количеству сертифицированных решений, а поглощение такой известной компании, как Sourcefire должно лишь укрепить заслуженное первое место. В то же время, поглощение Stonesoft, по сути, открывает для McAfee отличные возможности экспансии российского рынка, т.к. именно Stonesoft была первой зарубежной компанией, сумевшей получить на свои решения сертификат ФСБ (этот сертификат даёт гораздо больше возможностей, чем сертификат ФСТЭК).

К сожалению, отечественные производители пока не радуют бизнес, предпочитая развивать активность в сфере госзаказа. Такое положение вещей вряд ли положительно скажется на развитии этих решений, так как давно известно, что без конкуренции продукт развивается гораздо менее эффективно и, в конечном счёте, деградирует.

Цель данной статьи - не просто рассказать о возможностях IPS, но акцентировать внимание на уникальных функциональных возможностях системы, позволяющих решить ряд сложных проблем, с которыми сталкиваются предприятия в процессе конструкторско-технологической подготовки производства и которые отличают IPS от других PLM-систем, представленных на российском рынке.

Интеграция с системами автоматизированного проектирования

Еще с девяностых годов прошлого века компания ИНТЕРМЕХ начала ориентироваться на создание мультикад­решений, не зацикливаясь на интеграции с какой­то одной системой проектирования. Сегодня можно с уверенностью сказать, что из всех отечественных PLM­систем IPS обладает самым большим количеством интеграторов с механическими и электрическими системами автоматизированного проектирования: AutoCAD, BricsCAD, КОМПАС­График, КОМПАС 3D, Inventor, NX, Creo, SolidWorks, Solid Edge, CATIA, Altium Designer, Mentor Graphics, E3.series. Особо отметим, что это уже готовые работающие решения, а не обещания наладить интеграцию в процессе внедрения на предприятии.

В комплект поставки IPS входит универсальный модуль интеграции систем трехмерного проектирования с PLM­системами. Модуль встраивается в интерфейс CAD­системы и предоставляет конструктору доступ к функциям PLM непосредственно из системы проектирования. Модуль обеспечивает автоматическое считывание состава изделий из моделей сборочных единиц, генерацию по моделям конструкторских спецификаций, а также ассоциативную связь между свойствами моделей и атрибутами документов и изделий в PLM­системе. Также этот модуль позволяет организовать коллективную работу конструкторов над моделированием сложных сборок, предоставляя набор функций для синхронизации изменений, которые сделаны различными конструкторами в моделях, входящих в состав головной сборки (рис. 1).

Собственный редактор документов и бланков на основе формата XML

Разработчики IPS не стали надеяться на сторонние офисные пакеты или средства генерации отчетов, а создали собственный редактор структурированных текстовых документов, который использует для хранения данных формат XML. Такое решение позволило унифицировать создание, хранение и обработку любой текстовой конструкторско­технологической документации и реализовать в IPS целый ряд уникальных редакторов, аналогов которым нет ни в одной другой PLM­системе. Например, в комплект поставки IPS входит редактор состава изделий в виде конструкторской спецификации, включая групповые спецификации форм А, Б и В. При этом редактирование спецификации может производиться как в обычной табличной форме, так и в том же виде, в котором она будет выведена на печать. Конструктору также доступно множество функций по оформлению спецификации: автоматическая и ручная сортировка, пропуск строк и простановка позиций, оформление допустимых замен и подборных элементов, вставка примечаний, частей, спецсимволов и формул, связь с системами НСИ и многое другое (рис. 2).

Еще раз подчеркнем, что в IPS редактор спецификаций является именно редактором состава сборочных единиц, а не редактором документов, сформированных на основе состава изделий. Изменения в составе изделия, сделанные в других модулях системы, сразу отражаются в редакторе спецификаций IPS, и наоборот - любые изменения, сделанные в спецификации, сразу отражаются в рабочей копии состава изделий. Таким образом, состав изделия формируется параллельно из нескольких источников: трехмерной модели или двумерного сборочного чертежа, электрической схемы, редактора спецификаций и т.п. При этом каждая связь запоминает свой источник, поэтому обновление состава, например по модели, никогда не удалит позиции, добавленные в состав изделия вручную.

IPS (Intermech Professional Solutions) - универсальная система корпоративного уровня для управления информационными объектами.

IPS позволяет объединить в себе всю информацию о продукции и управлять ею: от концептуального дизайна до сдачи в производство, от изготовления отдельных экземпляров и партий до утилизации отслуживших свой срок изделий.

Программный комплекс IPS обеспечивает высокоэффективное управление данными на всех этапах разработки документации, подготовки производства, выпуска и эксплуатации продукции. Использование продуктов семейства IPS позволяет организовать производство в соответствии со стандартами качества (ISO 9000 и др.), сократить затраты на разработку и производство новых изделий, улучшить качество, сократить сроки выхода продукта на рынок, создать общекорпоративную информационную систему, объединить в единое информационное пространство ресурсы, процессы, продукцию и прочую информацию.

Редактор извещений об изменениях в IPS - тоже не просто редактор документов (рис. 3). Помимо собственно функций оформления извещений (вставка графики, формул, автоматическое заполнение различных граф, сортировка изменений и т.п.), редактор помогает управлять жизненным циклом изменяемых документов и объектов. Например, автоматически выпускает версии включаемых в извещение документов и перемещает их на нужный шаг жизненного цикла (ЖЦ) в момент актуализации извещения. Также извещения используются для автоматизации подбора версий объектов при поиске их состава и применяемости. Есть в системе и множество сервисных функций, помогающих организовать процесс проведения изменений: погасить ПИ, принять предложения по ПР, выпустить ДИ или ДПИ, создать комплект извещений и пр.

Следует также отметить, что проводить изменения документации в IPS можно и в упрощенной форме - через журнал изменений по ГОСТ 2.503­2013, редактор которого также есть в комплекте поставки системы.

Конфигуратор изделий

В ЕСКД существует такое понятие, как исполнение изделия. По одному групповому конструкторскому документу можно выпустить несколько различных исполнений изделия, не выпуская отдельный комплект документов на каждое исполнение. Это решение хорошо работает до тех пор, пока количество исполнений небольшое. Однако сейчас рынок диктует свои условия. Проектируемые изделия должны удовлетворять требованиям как можно большего количества заказчиков, а значит не обойтись без возможности настройки изделия под требования конкретного покупателя. В таких случаях на помощь конструкторам и маркетологам приходит «Конфигуратор изделий» в IPS. Данный модуль позволяет вести состав сложных изделий, обладающих множеством опций и функциональных зависимостей, не прибегая к созданию исполнений для каждого варианта изделия.

Конструктор, проектируя сборочный узел, может настроить набор опций, управляющих составом данного узла. При этом можно настроить правила совместимости значений различных опций, условия их применения, допустимость значений в данной сборке и т.п. Работники маркетинга могут создавать варианты комплектаций изделия, устанавливая значения для основных опций, которые чаще всего востребованы заказчиками в данном изделии. При оформлении заказа покупатель выбирает вариант комплектации изделия, доопределяет не заданные в комплектации значения опций и система формирует точный состав и комплект документации на конкретное изделие, отвечающее требованиям заказчика.

Распределенная работа крупных холдингов и филиалов предприятий

Наличием веб­интерфейса у информационных систем сейчас никого уже не удивишь. Большинство отечественных PLM обзавелись собственными средствами доступа в базу данных из веб­браузеров. Есть такой интерфейс и у IPS. Но что делать, если Интернет на рабочем месте по соображениям безопасности недоступен? Либо внешние каналы связи работают медленно и нестабильно? Как обеспечить быструю и стабильную работу сотен пользователей независимо от внешних факторов и каналов связи между предприятиями?

В составе IPS есть уникальное решение - служба IPS WebPortal. Суть данного решения в том, что каждое предприятие или филиал работает в собственной локальной сети со своей базой данных, а IPS WebPortal обеспечивает информационный обмен между этими локальными базами (узлами информационной сети) по внешним каналам связи через центральную базу данных портала, причем сама передача данных может производиться в offline­режиме (рис. 4). Такой способ работы значительно снижает требования к стабильности и пропускной способности внешних каналов связи, а также повышает безопасность данных, так как информационные узлы получают доступ только к опубликованной для них на портале информации, а не ко всем базам данных удаленных предприятий.

Функционал IPS WebPortal позволяет организовать распределенный документооборот, управление распределенными проектами, обмен информационными объектами в пакетном режиме, а также автоматическую репликацию изменений между различными базами данных. Программный интерфейс IPS WebPortal оформлен в виде стандартизованных веб­сервисов. Такой подход значительно упрощает подключение к порталу других информационных систем, позволяя использовать его в качестве средства обмена данными между различными информационными системами предприятий.

Передача документации заказчику

Еще одна проблема, решение которой хотелось бы рассмотреть подробнее, - это передача утвержденной документации на предприятия, на которых либо нет PLM­системы, либо PLM не поддерживает механизм электронных подписей. Выгрузить комплект электронных документов можно из любой PLM. Но как убедиться в том, что эти документы утверждены и подписаны всеми заинтересованными лицами? И как проверить, не изменялись ли переданные файлы с момента их подписания?

Для этой цели в IPS предусмотрена функция автоматического формирования информационно­удостоверяющих листов по ГОСТ 2.051­2013. При передаче твердых копий эти листы можно распечатать и, при необходимости, заверить «мокрой» подписью. При передаче электронной документации файлы удостоверяющих листов автоматически извлекаются на диск совместно с файлами документов. Листы содержат контрольные суммы подписанных файлов, что позволяет удостовериться в неизменности подписанных данных (рис. 5).

Если подписание документов в IPS производилось квалифицированными электронными подписями, то система имеет возможность выгрузки файлов подписей на диск в формате PKCS. Эти подписи могут быть проверены получателем документации с помощью любых средств проверки, понимающих стандарт PKCS. Можно также воспользоваться специальной программой проверки ЭП, которая поставляется вместе с IPS и может быть передана сторонним организациям вместе с комплектом подписанной документации.

Защита файлов документов на рабочих станциях

Все PLM­системы хранят файлы документов на защищенных серверах и предоставляют к ним доступ только в соответствии со своими правилами безопасности. Однако для редактирования документа во внешнем редакторе файл документа извлекается на диск рабочей станции либо на сетевой ресурс, открытый для доступа рабочим станциям. Таким образом, информация выводится из­под контроля PLM­системы, создавая угрозу безопасности данных. Для решения данной проблемы в состав IPS входит служба защиты файлов на рабочих станциях. Эта служба защищает рабочий каталог пользователя на уровне файловой системы NTFS, предоставляя доступ к нему только определенному пользователю и только после его авторизации в IPS. Как только пользователь выгружает клиент IPS любым доступным ему способом, доступ к каталогу пользователя автоматически блокируется.

Расширенные средства поиска информации

Помимо выборок, классификаторов и рабочего стола, которые в том или ином виде встречаются во всех отечественных PLM, разработчики IPS предложили целый ряд технических решений, значительно ускоряющих поиск информации в системе. Например, в окне Недавние объекты автоматически ведется список объектов, с которыми пользователь работал последнее время - своего рода рабочий стол, который не нужно пополнять и чистить вручную. А с помощью контекстных выборок можно искать информацию, используя свойства выбранного в системе объекта. Условия таких выборок могут содержать не константы, а ссылки на атрибуты объекта, относительно которого идет поиск информации. Например, можно быстро найти все детали, сделанные из такого же материала, не указывая в условиях поиска сам материал.

Следующий интересный механизм - общий индекс для быстрого поиска информационных объектов с учетом словоформ и коррекцией ошибок ввода. В индекс попадает информация из всех атрибутов, указанных администратором для индексации, включая содержимое файлов документов. При этом поиск информации для конечного пользователя значительно упрощается - ему не нужно создавать или находить выборки, достаточно просто ввести искомую строку в поле над списком объектов. Рядом располагается список часто используемых фильтров, с помощью которых можно еще более сузить область поиска объектов, добавив дополнительные условия фильтрации. Общий список фильтров настраивается администраторами системы, а пользователь может создавать свои персональные фильтры по аналогии с персональными выборками (рис. 6).

В IPS также есть специальный инструмент для поиска объектов по связям - схемы поиска объектов. Схема поиска - это именованный набор настроек и условий, согласно которым система ищет состав или применяемость объекта на один или множество уровней вложенности. С системой поставляется множество готовых схем поиска: для сбора полного комплекта документов на изделие или заказ, для поиска применяемости в головных изделиях, для поиска различной технологической информации и т.д. Администраторы могут расширять список схем, причем для каждой роли можно настроить собственный набор схем поиска в зависимости от обязанностей, которые выполняют пользователи, заходя в систему в данной роли.

Еще одна интересная тема - поиск электронного документа по его твердой копии. Такой вопрос может возникнуть даже в том случае, если на предприятии хорошо поставлена работа службы ОТД и все устаревшие копии документов отзываются своевременно. Зачастую вообще невозможно точно узнать, с какой именно версии документа создавалась данная твердая копия, если она еще не была поставлена на учет в ОТД и не получила соответствующий инвентарный номер. В таком случае может помочь технология штрихкодирования документов, реализованная в IPS. Суть технологии в том, что при распечатке документа в определенной области штампа выводится штрих­код, в котором закодирован идентификатор данной версии документа в PLM­системе. При наличии сканера штрих­кодов процесс поиска такого документа в базе данных занимает пару секунд.

Управление требованиями

Функционал управления требованиями давно стал обязательным в зарубежных PLM­системах, однако отечественные производители не спешат с его реализацией, ссылаясь на отсутствие спроса со стороны пользователей. Тем не менее руководство предприятий понимает, что максимально точное выполнение технического задания минимизирует количество проблем, возникающих в процессе приемки изделия заказчиком. И управление требованиями в данном контексте - это часть общей системы контроля качества продукции на предприятии. Ведь ошибки, допущенные на самой ранней стадии проектирования, являются самыми дорогостоящими. Какой вообще смысл делать продукт, который не отвечает требованиям заказчика и нормативным документам?

Учитывая всё вышесказанное, компания ИНТЕРМЕХ включила в комплект поставки IPS модуль управления требованиями. Данный модуль позволяет создать дерево требований, которым должно соответствовать проектируемое изделие, на основе технического задания, разработанного в MS Word (рис. 7). Администратор системы задает критерии, которым должны соответствовать объекты технических требований для перевода на шаг ЖЦ Выполнено (например, наличие подписей ответственных лиц). Система отслеживает выполнение всех пунктов технического задания и не дает перевести его на шаг Выполнено до тех пор, пока все требования не будут удовлетворены. Также имеется возможность на основе дерева требований сформировать проект IMProject для организации и планирования работ по исполнению технического задания.

Вместо эпилога

К сожалению, объем одной статьи не позволяет провести подробный анализ всех особенностей системы. Поэтому кратко перечислим, какой еще функционал отличает IPS от других отечественных PLM­систем:

  • подсистема поиска 3D­моделей по геометрическому подобию;
  • встроенный механизм форумов для организации обсуждения любого проекта, извещения или информационного объекта непосредственно в системе;
  • встроенная экспертная система для расчета значений атрибутов, проверки условий и генерации документов, ведомостей и отчетов произвольной сложности;
  • визуализатор связей для наглядного представления взаимосвязей между информационными объектами в виде ориентированного графа;
  • расширенные средства аннотирования документов, включая подсистему создания графических замечаний для документов произвольных форматов;
  • архивы для упорядоченного хранения документов и контроля прав доступа к ним;
  • механизм итераций, позволяющий в любой момент сохранить состояние (атрибуты, файлы и связи) выбранных объектов с возможностью возврата объектов в данное состояние;
  • встроенный органайзер для удобного доступа к задачам, письмам и различным оповещениям непосредственно на календаре;
  • системный планировщик для автоматического выполнения различных процедур, скриптов и задач по расписанию;
  • встроенные средства масштабирования защищенного хранилища файлов документов, а также средства миграции редко используемых данных на медленные носители информации;
  • поддержка СУБД ЛИНТЕР, включая ЛИНТЕР БАСТИОН, сертифицированный ФСТЭК России и Министерством обороны РФ;
  • автоматическое переподключение клиентов к серверу при потере и восстановлении связи;
  • средства автоматического развертывания и обновления клиентов на рабочих станциях.

Таким образом, IPS обладает рядом преимуществ, которые делают систему максимально удобной для использования на отечественных предприятиях и позволяют значительно сэкономить время и снизить затраты в процессе конструкторско­технологической подготовки производства.

Современные системы защиты информации состоят из множества компонентов, обеспечивающих комплексные меры защиты на всех этапах обработки и хранения информации. Один из важнейших элементов систем защиты - системы предотвращения вторжений (Intrusion Prevention Systems, IPS).

Системы IPS предназначены для обнаружения и блокирования атак в сети и проводят полное сканирование трафика, проходящего через контролируемые точки сети. При обнаружении вредоносного трафика поток блокируется, что препятствует дальнейшему развитию атаки. Для поиска атак системы используют разнообразные алгоритмы и базы сигнатур, которые могут содержать несколько тысяч определений атак, что позволяет блокировать большинство известных видов атак и их комбинаций.

Для увеличения эффективности системы IPS необходимо выбрать точки контроля трафика, в которых атаки будут блокироваться, что предотвратит распространение нежелательного трафика на другие участки сети. Как правило, в каждой организации точки контроля выбираются в зависимости как от бизнес-задач, так и от множества других факторов.

В настоящее время производители оборудования реализуют два метода размещения: метод подключения устройства в разрыв сети и метод перенаправления потоков информации. Оба имеют свои преимущества и недостатки, которые необходимо учитывать при проектировании системы защиты.

Метод подключения в разрыв сети обеспечивает полный контроль всего трафика, проходящего через контролируемую точку, что не позволяет «пройти незаметно». Но при этом появляется единая точка отказа, и для ее устранения необходимо поддерживать избыточность. Другой недостаток этого метода в том, что при таком подключении вносятся задержки в весь трафик, проходящий через устройство, что требует устройств, способных работать на скорости канала передачи данных.

Метод перенаправления предполагает установку сенсора (или нескольких сенсоров) для поиска подозрительного трафика в потоке данных. Проверяемый поток направляется на сенсор с зеркальных портов коммутатора или дублируется другими доступными средствами. При обнаружении подозрительного трафика маршрут изменяется и поток трафика перенаправляется на устройство, проводящее полную проверку, которое в итоге и принимает решение о блокировке или пропуске трафика. В случае решения о пропуске трафик возвращается на прежний маршрут. При выходе из строя сенсора или устройства IPS передача данных по сети не прерывается; кроме того, в «нормальный» трафик не вносится задержек. Однако при таком методе атаки, реализуемые одним сетевым пакетом, могут оказаться успешными даже в случае обнаружения этого пакета. Еще один недостаток - жесткие требования к сетевому оборудованию, с которым будет происходить взаимодействие.

Устройства IPS размещаются в соответствующих точках в соответствии с выбранной моделью. Как правило, такие точки находятся на границе сетей или представляют собой пограничные точки доступа к сетям провайдеров. В последнее время в результате совершенствования систем IPS и усиления внутренних угроз появилась тенденция к размещению устройств внутри сетей - для более полного контроля трафика между отделами, серверами и подсетями компаний. В результате заметно повысились требования к надежности и корректности срабатывания, а также к производительности устройств.

При этом традиционные проблемы с устранением единой точки отказа по прежнему решаются традиционным же способом - за счет дублирования оборудования и компонентов, что в принципе соответствует общим тенденциям в развитии оборудования для критических задач. Рассмотрим подробнее проблемы надежности срабатывания и производительности устройств.

Начнем с производительности. Данная проблема традиционно решается двумя способами: это либо усиление мощности процессора и параллельная обработка, либо создание специализированных микросхем, выполняющих требуемые операции аппаратно. Второй способ достаточно дорог из-за применения сложных и «ветвистых» процедур проверки пакетов, что, в свою очередь, сильно усложняет микросхемы и увеличивает их стоимость. Производители систем IPS используют различные комбинации этих способов, а также традиционные методы кластеризации устройств с распределением нагрузки, что позволяет создавать устройства с необходимыми параметрами скорости работы.

А теперь поговорим о самой сложной проблеме, которая преследует устройства IPS, – проблеме ложных срабатываний. Та же проблема актуальна и для систем обнаружения вторжений (Intrusion Detection System, IDS), но им, в отличие от IPS, не требуется особая аккуратность в работе, поскольку данные системы отвечают только за обнаружение и информирование. С системами IPS все гораздо сложнее – при ложном срабатывании (как и при реальной угрозе) трафик блокируется, что может нанести существенный вред организации.

Практически у всех производителей систем IPS существуют «фирменные» алгоритмы, которые сводят к минимуму количество ошибочных срабатываний за счет тщательного тестирования оборудования и обновлений, что обеспечивает достаточно надежную работу сети.

Кроме всего прочего, у разных производителей алгоритмы отличаются по специализации и имеют разную эффективность при обнаружении и блокировании разных типов атак, что усложняет создание решений для защиты.

Если задачу интеграции IPS и других систем безопасности при создании комплексных систем защиты решить все еще сложно, то задачи централизованного управления системами IPS одного производителя решаются средствами, которые предоставляют производители, что позволяет снизить расходы на управление системами, а также централизованно применять политики безопасности.

Таким образом, системы IPS выступают как эффективный элемент систем комплексной безопасности, но их внедрение и поддержка представляют собой весьма непростую задачу, требующую от специалистов высокой квалификации, что практически исключает самостоятельное создание эффективного решения на их основе.

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

Что такое система предотвращения атак

Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). IDS изначально лишь детектировали угрозы прослушивая трафик в сети и на хостах, а затем посылали администратору оповещения различными способами. IPS сейчас блокируют атаки сразу в момент их обнаружения, хотя могут и работать в режиме IDS - только оповещая о проблемах.

Иногда функционал IPS понимают как совместное функционирование в одном устройстве и IDS и firewall. Это часто вызвано тем, что некоторые IPS имеют встроенные правила блокирования пакетов по адресу источника и получателя. Однако, это не firewall. В firewall блокирование трафика полностью зависит от вашего умения настраивать правила, а в IPS от умения программистов производителя писать безошибочные алгоритмы поиска атак в идущем по сети трафике. Есть еще одна «похожесть»: технология firewall, известная как statefull inspection, очень похожа на одну из технологий, используемых в IPS для идентификации принадлежности разных соединений одному сетевому протоколу, и тут она называется port following. Различий гораздо больше, например, Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет.

Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. Для работы в соответствующем режиме в IPS встраивают так называемый модуль обхода. Благодаря ему, даже если вы случайно выключите питание IPS, то трафик будет идти свободно через устройство. Иногда IPS тоже настраивают блокировать трафик при выходе из строя - но это частные случаи, чаще всего используемые, когда два устроства используются в режиме High Avalability.
IPS это значительно более сложное устройство чем firewall. IPS используют для угроз, с которыми последний не справился. IPS заключает в себе концентрированные знания огромного числа специалистов по безопасности, которые выявили, нашли закономерности и затем запрограммировали код, выявляющий проблемы, в виде правил анализа контента идущего по сети.

IPS в корпоративных сетях являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. В итоге, для каждой атаки сейчас есть возможности не только идентифицировать ее, а затем оповестить администратора или заблокировать, но и провести полный анализ инцидента: собрать пакеты идущие от атакующего, инициировать расследование, произвести устранение уязвимости путем модификации пакета.

В сочетании с правильной системой управления безопасностью появляется возможность контролировать действия самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. Что, в общем, внесло осязаемый смысл в работу таких систем. Какой смысл говорить о проблемах в сети, если на эти проблемы никто не реагирует и не несет ответственности за это? Всем известна эта вечная проблема: тот кто несет убытки от нарушения работы компьютерной системы и тот кто защищает эту систему - разные люди. Если не рассматривать крайний случай, например, домашнего компьютера подключенного к Интернет.

Задержки трафика

С одной стороны хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее самим устройством. Но с другой стороны системы предотвращения атак приходится ставить не на SPAN порт свитча, а пропускать весь сетевой трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети. А в случае с VoIP это критично, хотя, если вы собираетесь защищаться от атак на VoIP, то другого способа защититься от таких атак нет.

Таким образом, одной из характеристик, по которой вам необходимо оценивать систему предотвращения атак при покупке являются величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно почитать исследования независимых тестовых лабораторий, например NSS. Доверять производителю одно, а проверить самому - другое.

Количество ложных срабатываний

Второй характеристикой на которую нужно смотреть: количество ложных срабатываний. Так же как мы раздражаемся от спама, точно такое же впечатление производят ложные срабатывания на администраторов безопасности. В конце концов администраторы, чтобы защитить свою психику, просто перестают реагировать на все сообщения системы и ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить эту систему более менее адекватно именно к угрозам в вашей сети нужно потратить уйму времени.

В некоторых системах обнаружения и предотвращения атак встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например от сканера безопасности. Например, если сканер безопасности увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со сто процентной уверенностью сказать что атака червя Slammer (которая нацелена на MS SQL) на данный сервер не пройдет. Таким образом такие системы корреляции помечают часть атак как неудавшиеся, что сильно облегчает работу администратора.

Современность защитных технологий

Третьей характеристикой являются методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Изначально существует два разных подхода: сигнатурные IPS ищут атаки, основываясь на найденных ранее эксплойтах, а IPS с анализом протоколов ищут атаки на базе знаний о найденных ранее уязвимостях. Если написать новый эксплойт для той же уязвимости, то IPS первого класса не обнаружат и не блокируют его, а второго класса и обнаружат и заблокируют. IPS второго класса гораздо эффективнее, поскольку блокируют целые классы атак. В итоге, у одного производителя нужно 100 сигнатур для обнаружения всех разновидностей одной и той же атаки, у другого достаточно одного правила, анализирующего уязвимость протокола или формата данных, которыми все эти разновидности атак пользуются. Недавно появился термин превентивная защита. В него включаются и возможность защиты от атак, которые еще неизвестны и защита от атак, которые уже известны, но производитель еще не выпустил патча. Вообще слово «превентивная» очередной американизм. Есть более русский термин: «своевременная» - та защита, которая срабатывает до того как нас взломали или заразили, а не после. Такие технологии уже есть и их надо использовать. Спросите у производителя при покупке: какие технологии превентивной защиты у них использованы и вы все поймете.

К сожалению, еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому вам для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов. Другое будет использовать методы статистические и аналитические по анализу аномалий в поведении сетевых потоков. Сигнатурные методы еще используются во многих системах обнаружения и предотвращения атак, но к сожалению они не оправдывают себя. Они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Сигнатурные антивирусы не справляются сейчас с новыми вирусами по той же причине - реактивность защиты. Поэтому, самыми передовыми методами анализа атак сейчас является полный анализ протокола. Идея этого метода в том, что анализируется не конкретная атака, а в самом протоколе ищется признак использования уязвимости атакующим. Например, система может отследить был ли перед началом TCP пакета с атакой трехпакетный обмен по установлению TCP соединения (пакеты с флагами SYN, SYN+ACK, ACK). Если перед проведением атаки нужно установление соединения, то система по анализу протоколов проверит были ли оно и если пойдет пакет с атакой без установления соединения, то она обнаружит, что такая атака неуспешна, поскольку соединения не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по другому. Они анализируют сетевой трафик (например, около недели) и запоминают какие сетевые потоки идут обычно. Как только возникает трафик, который не соответствует запомненному поведению - ясно, что в сети что-то происходит новое: например, распространение нового червя. Кроме того, такие системы связаны с центром обновлений и раз в час или чаще получают новые правила поведения червей и и другие обновления, например, списки фишинговых сайтов, что позволяет им их сразу блокировать, или списки хостов управления бот сетями, что сразу позволяет детектировать заражение какого-то хоста, как только он пытается соедиться с центром управления бот сетью и т.д.

Даже появление нового хоста в сети - для поведенческой системы важное событие: надо узнать что за хост, что на нем установлено, есть ли на нем уязвимости, а может новый хост сам будет атакующим. Для провайдеров такие поведенческие системы важны тем, что они позволяют отслеживать изменения в «грузопотоке», ведь провайдеру важно обеспечить скорость и надежность доставки пакетов, а если вдруг с утра оказалось, что весь трафик идет по одному каналу и не умещается в нем, а остальные несколько каналов в Интернет через других провайдеров незадействованы, то это значит, что где-то сбились настройки и надо заняться балансировкой и перераспределением нагрузки.
Для хозяина небольшой сети важно, что внутри не завелись атакующие, чтобы сеть не записали в черный список спамеров, чтобы атакующие не забили весь канал в Интернет мусором. А ведь за Интернет канал и трафик надо платить провайдеру деньги. Каждый директор фирмы хотел бы вовремя обнаруживать и останавливать трату денег на трафик бесполезный для бизнеса.

Анализируемые протоколы и форматы данных

Если мы говорим о технических специалистах, которые принимают решение о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно вас интересует что-то конкретное: например анализ атак в javascript, или отражение попыток sql injection, или DDoS атак, или у вас вообще SCADA (система контроля и управления датчиками) и нужно анализировать протоколы вашей специализированной системы, или вам критично защищать протоколы VoIP, в которых уже имеются уязвимости при реализации в силу их сложности.
Кроме того, не все знают, что события IPS бывают не только типа «атака», бывают еще типы «аудит» и «статус». Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ - её использование - атака. Если нет - значит вы просто можете отслеживать все подключения и кто с кем общается. Или просто отключить эту сигнатуру, если считаете это нетичным.

Специалисты

Возникает вопрос: где же брать таких специалистов, которые разбираются что нужно купить, и которые потом будут знать как реагировать на каждое сообщение системы предотвращения атак и даже смогут ее настраивать. Понятно, что можно пойти на курсы по обучению управлением такой системы, но на самом деле человек должен сначала разбираться в сетевых протоколах, потом в сетевых атаках, а потом в методах реагирования. А такие курсы отсутствуют. Тут нужен опыт. Есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений поступающих с консолей систем безопасности. В них работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернет и они обеспечивают эффективную защиту, а вы в свою очередь избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии имеющихся средств защиты начиная от VPN и заканчивая антивирусами. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А нанять специалиста обычно можно только на работу с понедельника по пятницу с 9 до 18, и то он иногда болеет, учится, ходит на конференции, ездит в командировки и, бывает, что неожиданно увольняется.

Поддержка продукта

Важно подчеркнуть такой момент в IPS как поддержка своих продуктов производителем. К сожалению обновления алгоритмов, сигнатур и правил до сих пор необходимы, поскольку технологии и злоумышленники не стоят на месте и нужно постоянно закрывать новые классы уязвимостей в новых технологиях. Каждый год находят несколько тысяч уязвимостей. Наверняка, ваши программные и аппаратные средства содержат несколько из них. Как вы узнавали про уязвимости в них и как потом защищались? А ведь нужен постоянный контроль за актуальностью защиты. Поэтому важным компонентом является постоянная поддержка защитных средств, которым вы доверили безопасность своей компании: наличие профессиональной команды, которая постоянно отслеживает новые уязвимости и своевременно пишет новые проверки, которая сама ищет уязвимости, чтобы быть впереди злоумышленников. Так что когда покупаете такую сложную систему как IPS посмотрите на то, какую поддержку предлагает производитель. Нелишне узнать насколько хорошо и вовремя он справился с атаками, которые уже были в прошлом.

Защита от методов обхода IPS

На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. (Управление IPS осуществляется через отдельный порт управления.) Однако, существуют методы обхода IPS, позволяющие его «обмануть» и провести атаку на защищаемые ими сети. В популярной литературе эти методы подробно описаны. Например, тестовая лаборатория NSS активно использует методы обхода для проверки IPS. Производителям IPS сложно противодействовать этим методам. И то, как производитель справляется с методами обхода и является еще одной интересной характеристикой системы предотвращения атак.

Важность использования IPS в корпоративных сетях назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак уже разработаны, так что остается только их грамотно установить и эксплуатировать. В статье специально не были названы имена производителей, чтобы сделать обзор свойств IPS максимально непредвзятым.