Hệ thống ngăn chặn xâm nhập (hệ thống IPS). Bảo vệ máy tính của bạn khỏi sự truy cập trái phép. Màn hình IPS - nó là gì và ưu điểm của công nghệ là gì

Các hệ thống bảo mật thông tin hiện đại bao gồm nhiều thành phần cung cấp các biện pháp bảo vệ toàn diện ở tất cả các giai đoạn xử lý và lưu trữ thông tin. Một trong những yếu tố quan trọng nhất của hệ thống bảo mật là hệ thống ngăn chặn xâm nhập (IPS).

Hệ thống IPS được thiết kế để phát hiện và chặn các cuộc tấn công vào mạng và tiến hành quét toàn bộ lưu lượng truy cập đi qua các điểm được kiểm soát của mạng. Khi phát hiện lưu lượng truy cập độc hại, luồng sẽ bị chặn, ngăn chặn cuộc tấn công phát triển thêm. Để tìm kiếm các cuộc tấn công, hệ thống sử dụng nhiều thuật toán và cơ sở dữ liệu chữ ký khác nhau, có thể chứa hàng nghìn định nghĩa tấn công, giúp chặn hầu hết các loại tấn công đã biết và sự kết hợp của chúng.

Để tăng hiệu quả của hệ thống IPS, cần phải chọn các điểm kiểm soát lưu lượng tại đó các cuộc tấn công sẽ bị chặn, điều này sẽ ngăn chặn các lưu lượng không mong muốn lan sang các phần khác của mạng. Theo quy định, trong mỗi tổ chức, các điểm kiểm soát được lựa chọn tùy thuộc vào mục tiêu kinh doanh và nhiều yếu tố khác.

Hiện nay, các nhà sản xuất thiết bị thực hiện hai phương pháp bố trí: phương pháp kết nối thiết bị với một khoảng cách mạng và phương pháp chuyển hướng các luồng thông tin. Cả hai đều có những ưu điểm và nhược điểm cần được tính đến khi thiết kế hệ thống bảo vệ.

Phương pháp kết nối khi ngắt mạng cung cấp khả năng kiểm soát hoàn toàn tất cả lưu lượng truy cập đi qua điểm được kiểm soát, điều này không cho phép nó “đi qua mà không được chú ý”. Nhưng điều này tạo ra một điểm lỗi duy nhất và sự dư thừa phải được duy trì để loại bỏ nó. Một nhược điểm khác của phương pháp này là kết nối này gây ra độ trễ cho tất cả lưu lượng truy cập đi qua thiết bị, yêu cầu các thiết bị có khả năng hoạt động ở tốc độ liên kết dữ liệu.

Phương pháp chuyển hướng liên quan đến việc cài đặt một cảm biến (hoặc một số cảm biến) để tìm kiếm lưu lượng truy cập đáng ngờ trong luồng dữ liệu. Luồng đang được kiểm tra được dẫn đến cảm biến từ các cổng gương của bộ chuyển mạch hoặc được sao chép bằng các phương tiện sẵn có khác. Khi phát hiện lưu lượng truy cập đáng ngờ, tuyến đường sẽ được thay đổi và luồng lưu lượng được chuyển hướng đến một thiết bị tiến hành quét toàn bộ, thiết bị này cuối cùng sẽ quyết định nên chặn hay cho phép lưu lượng truy cập. Nếu có quyết định vượt, giao thông sẽ quay trở lại tuyến đường trước đó. Nếu cảm biến hoặc thiết bị IPS bị lỗi thì việc truyền dữ liệu qua mạng không bị gián đoạn; Ngoài ra, không có sự chậm trễ nào được đưa vào giao thông “bình thường”. Tuy nhiên, với phương pháp này, các cuộc tấn công được thực hiện bởi một gói mạng duy nhất có thể thành công ngay cả khi gói đó bị phát hiện. Một nhược điểm khác là các yêu cầu nghiêm ngặt đối với thiết bị mạng sẽ xảy ra tương tác.

Các thiết bị IPS được đặt ở những điểm thích hợp theo model đã chọn. Theo quy định, các điểm như vậy nằm ở rìa mạng hoặc đại diện cho các điểm truy cập biên giới tới mạng của nhà cung cấp. Gần đây, do sự cải tiến của hệ thống IPS và sự gia tăng các mối đe dọa nội bộ, đã có xu hướng đặt các thiết bị bên trong mạng - để kiểm soát hoàn toàn hơn lưu lượng giữa các phòng ban, máy chủ và mạng con của công ty. Do đó, các yêu cầu về độ tin cậy và hoạt động chính xác cũng như hiệu suất của thiết bị đã tăng lên đáng kể.

Đồng thời, các vấn đề truyền thống về việc loại bỏ một điểm lỗi duy nhất vẫn được giải quyết theo cách truyền thống tương tự - bằng cách sao chép thiết bị và linh kiện, về nguyên tắc, tương ứng với xu hướng chung trong việc phát triển thiết bị cho các nhiệm vụ quan trọng. Chúng ta hãy xem xét kỹ hơn các vấn đề về độ tin cậy hoạt động và hiệu suất của thiết bị.

Hãy bắt đầu với hiệu suất. Vấn đề này theo truyền thống được giải quyết theo hai cách: bằng cách tăng sức mạnh bộ xử lý và xử lý song song hoặc bằng cách tạo ra các chip chuyên dụng thực hiện các hoạt động cần thiết trong phần cứng. Phương pháp thứ hai khá tốn kém do sử dụng các quy trình xác minh gói phức tạp và “phân nhánh”, do đó, làm phức tạp đáng kể các chip và tăng giá thành của chúng. Các nhà sản xuất hệ thống IPS sử dụng nhiều cách kết hợp khác nhau của các phương pháp này, cũng như các phương pháp phân cụm thiết bị truyền thống với cân bằng tải, cho phép họ tạo ra các thiết bị có các thông số tốc độ cần thiết.

Bây giờ chúng ta hãy nói về vấn đề khó khăn nhất đang xảy ra với các thiết bị IPS - vấn đề dương tính giả. Vấn đề tương tự cũng xảy ra với các hệ thống phát hiện xâm nhập (Hệ thống phát hiện xâm nhập, IDS), nhưng không giống như IPS, chúng không yêu cầu sự cẩn thận đặc biệt trong công việc vì các hệ thống này chỉ chịu trách nhiệm phát hiện và cung cấp thông tin. Với hệ thống IPS, mọi thứ phức tạp hơn nhiều - trong trường hợp có kết quả dương tính giả (như trong trường hợp có mối đe dọa thực sự), lưu lượng truy cập sẽ bị chặn, điều này có thể gây ra thiệt hại đáng kể cho tổ chức.

Hầu hết tất cả các nhà sản xuất hệ thống IPS đều có thuật toán “độc quyền” giúp giảm thiểu số lượng kết quả dương tính giả thông qua việc kiểm tra cẩn thận thiết bị và các bản cập nhật, đảm bảo mạng hoạt động khá đáng tin cậy.

Trong số những thứ khác, các thuật toán từ các nhà sản xuất khác nhau có chuyên môn khác nhau và có hiệu quả khác nhau trong việc phát hiện và ngăn chặn các loại tấn công khác nhau, điều này làm phức tạp việc tạo ra các giải pháp bảo mật.

Nếu nhiệm vụ tích hợp IPS và các hệ thống bảo mật khác khi tạo các hệ thống bảo mật phức tạp vẫn khó giải quyết, thì nhiệm vụ quản lý tập trung hệ thống IPS từ một nhà sản xuất sẽ được giải quyết bằng các phương tiện do nhà sản xuất cung cấp, cho phép giảm chi phí quản lý hệ thống, cũng như áp dụng các chính sách bảo mật tập trung.

Do đó, hệ thống IPS hoạt động như một yếu tố hiệu quả của các hệ thống bảo mật tích hợp, nhưng việc triển khai và hỗ trợ chúng là một nhiệm vụ rất khó khăn, đòi hỏi các chuyên gia có trình độ cao, điều này thực tế loại trừ việc độc lập tạo ra một giải pháp hiệu quả dựa trên chúng.

Ngày nay, các hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS, Hệ thống phát hiện xâm nhập/Hệ thống ngăn chặn xâm nhập, thuật ngữ tương tự tiếng Nga - SOV/SOA) là một yếu tố cần thiết để bảo vệ chống lại các cuộc tấn công mạng. Mục đích chính của các hệ thống như vậy là xác định các trường hợp truy cập trái phép vào mạng công ty và thực hiện các biện pháp đối phó thích hợp: thông báo cho các chuyên gia bảo mật thông tin về thực tế xâm nhập, ngắt kết nối và định cấu hình lại tường lửa để chặn các hành động tiếp theo của kẻ tấn công, tức là bảo vệ chống lại hacker tấn công và phần mềm độc hại.

Mô tả chung về công nghệ

Có một số công nghệ IDS khác nhau về loại sự kiện được phát hiện và phương pháp được sử dụng để xác định sự cố. Ngoài chức năng giám sát và phân tích sự kiện để xác định sự cố, tất cả các loại IDS đều thực hiện các chức năng sau:

• Ghi lại thông tin về các sự kiện. Thông thường, thông tin được lưu trữ cục bộ nhưng có thể được gửi đến bất kỳ hệ thống thu thập nhật ký tập trung hoặc hệ thống SIEM nào;
• Thông báo cho quản trị viên bảo mật về các sự cố bảo mật thông tin. Loại thông báo này được gọi là cảnh báo và có thể được thực hiện thông qua một số kênh: email, bẫy SNMP, thông báo nhật ký hệ thống, bảng điều khiển quản lý hệ thống IDS. Các phản ứng có thể lập trình bằng cách sử dụng các tập lệnh cũng có thể thực hiện được.
• Tạo báo cáo. Báo cáo được tạo để tóm tắt tất cả thông tin về (các) sự kiện được yêu cầu.

Công nghệ IPS bổ sung cho công nghệ IDS ở chỗ nó có thể độc lập không chỉ xác định mối đe dọa mà còn ngăn chặn nó thành công. Trong trường hợp này, chức năng của IPS rộng hơn nhiều so với IDS:

• IPS chặn một cuộc tấn công (chấm dứt phiên của người dùng vi phạm chính sách bảo mật, chặn quyền truy cập vào tài nguyên, máy chủ, ứng dụng);
• IPS thay đổi môi trường được bảo vệ (thay đổi cấu hình của thiết bị mạng để ngăn chặn sự tấn công);
• IPS thay đổi nội dung của cuộc tấn công (ví dụ: nó xóa tệp bị nhiễm khỏi thư và gửi đến người nhận đã được làm sạch hoặc hoạt động như một proxy, phân tích các yêu cầu đến và loại bỏ dữ liệu trong tiêu đề gói).

Nhưng bên cạnh những ưu điểm rõ ràng, những hệ thống này cũng có những nhược điểm. Ví dụ: IPS không phải lúc nào cũng có thể xác định chính xác một sự cố bảo mật thông tin hoặc nhầm lẫn lưu lượng truy cập thông thường hoặc hành vi của người dùng với một sự cố. Trong phương án đầu tiên, người ta thường nói về một sự kiện âm tính giả, trong phương án thứ hai, họ nói về một sự kiện dương tính giả. Cần lưu ý rằng không thể loại bỏ hoàn toàn sự xuất hiện của chúng, do đó, trong mỗi trường hợp, tổ chức có thể quyết định độc lập xem nhóm rủi ro nào trong hai nhóm nên được giảm thiểu hoặc chấp nhận.

Có nhiều loại kỹ thuật phát hiện sự cố sử dụng công nghệ IPS. Hầu hết việc triển khai IPS sử dụng tổng hợp các công nghệ này để cung cấp mức độ phát hiện mối đe dọa cao hơn.

1. Phát hiện tấn công dựa trên chữ ký.

Chữ ký là một mẫu xác định một cuộc tấn công tương ứng. Phát hiện tấn công dựa trên chữ ký là quá trình so sánh chữ ký với một sự cố có thể xảy ra. Ví dụ về chữ ký là:

• kết nối telnet của người dùng “root”, điều này sẽ vi phạm một số chính sách bảo mật của công ty;
• email đến với chủ đề “hình ảnh miễn phí”, kèm theo tệp “freepics.exe”;
• nhật ký hệ điều hành có mã 645, cho biết việc kiểm tra máy chủ bị vô hiệu hóa.

Phương pháp này rất hiệu quả trong việc phát hiện các mối đe dọa đã biết nhưng không hiệu quả trước các cuộc tấn công không xác định (không có chữ ký).

2. Phát hiện tấn công bằng hành vi bất thường

Phương pháp này dựa trên việc so sánh hoạt động bình thường của các sự kiện với hoạt động của các sự kiện lệch khỏi mức bình thường. IPS sử dụng phương pháp này có cái gọi là “hồ sơ” phản ánh hành vi bình thường của người dùng, nút mạng, kết nối, ứng dụng và lưu lượng truy cập. Những hồ sơ này được tạo trong "thời gian đào tạo" trong một khoảng thời gian. Ví dụ: một hồ sơ có thể ghi lại lưu lượng truy cập web tăng 13% vào các ngày trong tuần. Trong tương lai, IPS sử dụng các phương pháp thống kê để so sánh các đặc điểm khác nhau của hoạt động thực với một giá trị ngưỡng nhất định, khi vượt quá, một thông báo tương ứng sẽ được gửi đến bảng điều khiển quản lý của nhân viên an ninh. Hồ sơ có thể được tạo dựa trên nhiều thuộc tính lấy từ phân tích hành vi người dùng. Ví dụ: theo số lượng email được gửi, số lần đăng nhập vào hệ thống không thành công, mức độ tải của bộ xử lý máy chủ trong một khoảng thời gian nhất định, v.v. Do đó, phương pháp này cho phép bạn chặn các cuộc tấn công khá hiệu quả. bỏ qua việc lọc phân tích chữ ký, từ đó cung cấp khả năng bảo vệ chống lại các cuộc tấn công của hacker.

Công nghệ IDS/IPS trong ALTELL NEO

IDS/IPS được công ty chúng tôi sử dụng trong tường lửa ALTELL NEO thế hệ mới dựa trên công nghệ Suricata mở, công nghệ này đang được phát triển thêm theo nhiệm vụ của chúng tôi. Không giống như IDS/IPS Snort được các nhà phát triển khác sử dụng, hệ thống chúng tôi sử dụng có một số ưu điểm, chẳng hạn như nó cho phép bạn sử dụng GPU ở chế độ IDS, có hệ thống IPS tiên tiến hơn, hỗ trợ đa nhiệm (cung cấp hiệu suất cao hơn) và hơn thế nữa, bao gồm cả việc hỗ trợ đầy đủ cho định dạng quy tắc Snort.

Cần lưu ý rằng để IDS/IPS hoạt động chính xác, nó cần có cơ sở dữ liệu chữ ký cập nhật. ALTELL NEO sử dụng Cơ sở dữ liệu dễ bị tổn thương quốc gia mở và Bugtraq cho mục đích này. Cơ sở dữ liệu được cập nhật 2-3 lần một ngày, đảm bảo mức độ bảo mật thông tin tối ưu.

Hệ thống ALTELL NEO có thể hoạt động ở hai chế độ: chế độ phát hiện xâm nhập (IDS) và chế độ ngăn chặn xâm nhập (IPS). Các chức năng IDS và IPS được kích hoạt trên giao diện thiết bị do quản trị viên lựa chọn - một hoặc nhiều. Cũng có thể gọi các chức năng IPS khi định cấu hình quy tắc tường lửa cho loại lưu lượng truy cập cụ thể mà bạn muốn quét. Sự khác biệt về chức năng giữa IDS và IPS là ở chế độ IPS, các cuộc tấn công mạng có thể bị chặn trong thời gian thực.

Chức năng của hệ thống phát hiện và ngăn chặn xâm nhập trong ALTELL NEO

Các quy tắc bảo mật được phát triển và cải tiến bởi cộng đồng Các mối đe dọa mới nổi và dựa trên kinh nghiệm tổng hợp nhiều năm của các chuyên gia trong lĩnh vực bảo vệ chống lại các cuộc tấn công mạng. Các quy tắc được cập nhật tự động qua kênh bảo mật (để làm được điều này, kết nối Internet phải được định cấu hình trong ALTELL NEO). Mỗi quy tắc được chỉ định mức độ ưu tiên theo lớp tấn công dựa trên tần suất sử dụng và tầm quan trọng. Mức độ ưu tiên tiêu chuẩn nằm trong khoảng từ 1 đến 3, trong đó mức độ ưu tiên "1" là cao, mức độ ưu tiên "2" là trung bình và mức độ ưu tiên "3" là thấp.

Theo những ưu tiên này, một hành động có thể được chỉ định để hệ thống ngăn chặn và phát hiện xâm nhập ALTELL NEO sẽ thực hiện trong thời gian thực khi phát hiện lưu lượng truy cập mạng khớp với chữ ký quy tắc. Hành động có thể như sau:

• Báo động(Chế độ IDS) - lưu lượng truy cập được cho phép và chuyển tiếp đến người nhận. Một cảnh báo được ghi vào nhật ký sự kiện. Hành động này là mặc định cho tất cả các quy tắc;
• Làm rơi(Chế độ IPS) - dừng phân tích gói, không thực hiện so sánh thêm để tuân thủ các quy tắc còn lại. Gói tin sẽ bị loại bỏ và một cảnh báo được ghi vào nhật ký;
• Từ chối(Chế độ IPS) - ở chế độ này, gói sẽ bị loại bỏ và cảnh báo được ghi vào nhật ký. Trong trường hợp này, một tin nhắn tương ứng sẽ được gửi đến người gửi và người nhận gói hàng;
• Vượt qua(Chế độ IDS và IPS) - ở chế độ này, quá trình phân tích gói dừng lại và không thực hiện so sánh thêm về việc tuân thủ các quy tắc còn lại. Gói được chuyển tiếp đến đích và không có cảnh báo nào được tạo ra.

Báo cáo về lưu lượng truy cập đi qua hệ thống ngăn chặn và phát hiện xâm nhập ALTELL NEO có thể được tạo trong hệ thống quản lý tập trung ALTELL NEO độc quyền, thu thập dữ liệu ban đầu (cảnh báo) từ một hoặc nhiều thiết bị ALTELL NEO.

Bạn có thể kiểm tra miễn phí chức năng của hệ thống IDS/IPS được tích hợp trong ALTELL NEO trong phiên bản UTM bằng cách điền vào một đơn đăng ký ngắn. Bạn cũng có thể chọn cấu hình thiết bị (bộ nhớ bổ sung, mô-đun mở rộng, phiên bản phần mềm, v.v.) và tính giá gần đúng của thiết bị bằng cách sử dụng

Hiện nay có vô số loại phần mềm độc hại khác nhau. Các chuyên gia phần mềm chống vi-rút nhận thức rõ rằng các giải pháp chỉ dựa trên cơ sở dữ liệu dấu hiệu vi-rút không thể có hiệu quả trước một số loại mối đe dọa. Nhiều loại virus có thể thích ứng, thay đổi kích thước và tên của tệp, quy trình và dịch vụ.

Nếu mối nguy hiểm tiềm ẩn của một tệp không thể được phát hiện bằng các dấu hiệu bên ngoài, bạn có thể xác định tính chất độc hại của nó bằng hành vi của nó. Đó là phân tích hành vi được thực hiện bởi Hệ thống ngăn chặn xâm nhập máy chủ (HIPS).

HIPS là phần mềm chuyên dụng giám sát các tệp, quy trình và dịch vụ để phát hiện hoạt động đáng ngờ. Nói cách khác, tính năng bảo vệ HIPS chủ động được sử dụng để chặn phần mềm độc hại dựa trên tiêu chí thực thi mã nguy hiểm. Việc sử dụng công nghệ cho phép bạn duy trì bảo mật hệ thống tối ưu mà không cần cập nhật cơ sở dữ liệu.

HIPS và tường lửa là những thành phần có liên quan chặt chẽ với nhau. Trong khi tường lửa kiểm soát lưu lượng đến và đi dựa trên bộ quy tắc, HIPS kiểm soát cách các quy trình bắt đầu và chạy dựa trên những thay đổi được thực hiện đối với máy tính theo quy tắc kiểm soát.

Mô-đun HIPS bảo vệ máy tính của bạn khỏi các loại mối đe dọa đã biết và chưa biết. Khi các hành động đáng ngờ được thực hiện bởi phần mềm độc hại hoặc kẻ tấn công, HIPS sẽ chặn hoạt động này, thông báo cho người dùng và đưa ra các giải pháp tiếp theo. HIPS tập trung vào những thay đổi chính xác nào?

Dưới đây là danh sách sơ bộ các hoạt động mà HIPS giám sát chặt chẽ:

Quản lý các chương trình đã cài đặt khác. Ví dụ: gửi email bằng ứng dụng email tiêu chuẩn hoặc khởi chạy một số trang nhất định trong trình duyệt mặc định của bạn;

Cố gắng thực hiện các thay đổi đối với một số mục đăng ký hệ thống nhất định để chương trình sẽ khởi động khi một số sự kiện nhất định xảy ra;

Kết thúc các chương trình khác. Ví dụ: vô hiệu hóa trình quét chống vi-rút;

Cài đặt thiết bị và trình điều khiển chạy trước các chương trình khác;

Truy cập bộ nhớ liên bộ xử lý cho phép chèn mã độc vào một chương trình đáng tin cậy

Những gì mong đợi từ một HIPS thành công?

HIPS phải có đủ thẩm quyền để ngăn phần mềm độc hại hoạt động. Nếu cần có xác nhận của người dùng để dừng một chương trình nguy hiểm thì hệ thống sẽ không hiệu quả. Một hệ thống ngăn chặn xâm nhập phải có một bộ quy tắc cụ thể mà người dùng có thể áp dụng. Cần có sẵn các hoạt động tạo quy tắc mới (mặc dù vẫn có một số ngoại lệ nhất định). Người dùng khi làm việc với HIPS phải hiểu rõ hậu quả của những thay đổi của mình. Nếu không, xung đột phần mềm và hệ thống có thể xảy ra. Thông tin bổ sung về hoạt động của hệ thống ngăn chặn xâm nhập có thể được tìm thấy trên các diễn đàn chuyên ngành hoặc trong tệp trợ giúp chống vi-rút.

Thông thường, công nghệ HIPS hoạt động khi quá trình bắt đầu. Nó làm gián đoạn các hành động trong khi chúng đang diễn ra. Tuy nhiên, có những sản phẩm HIPS có tính năng phát hiện sơ bộ, khi mối nguy hiểm tiềm tàng của tệp thực thi được xác định trước khi nó thực sự được tung ra.

Có rủi ro không?

Những rủi ro liên quan đến HIPS là những kết quả dương tính giả và những quyết định không chính xác của người dùng. Hệ thống chịu trách nhiệm về những thay đổi nhất định được thực hiện bởi các chương trình khác. Ví dụ: HIPS luôn theo dõi đường dẫn đăng ký HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, chịu trách nhiệm tự động tải các chương trình khi khởi động hệ thống.

Rõ ràng, nhiều chương trình bảo mật sử dụng mục đăng ký này để khởi động tự động. Khi thay đổi được thực hiện đối với khóa này, HIPS sẽ nhắc người dùng thực hiện thêm hành động: cho phép hoặc từ chối các thay đổi. Rất thường xuyên, người dùng chỉ cần nhấp vào cho phép mà không cần tìm hiểu kỹ thông tin, đặc biệt nếu họ đang cài đặt phần mềm mới vào thời điểm đó.

Một số HIPS thông báo về các quyết định tương tự của những người dùng khác, nhưng với một số ít trong số đó, chúng không liên quan và có thể gây hiểu nhầm cho người dùng. Chúng tôi chỉ có thể hy vọng rằng hầu hết người dùng đã đưa ra lựa chọn đúng đắn trước bạn. Hệ thống hoạt động hiệu quả trong việc xác định mối nguy hiểm tiềm ẩn và hiển thị thông báo cảnh báo. Hơn nữa, ngay cả khi HIPS xác định chính xác mối đe dọa, người dùng vẫn có thể thực hiện hành động sai và do đó lây nhiễm vào PC.

Phần kết luận: HIPS là một yếu tố quan trọng của bảo vệ nhiều lớp. Bạn cũng nên sử dụng các mô-đun bảo mật khác với hệ thống. Để HIPS hoạt động tối ưu và hiệu quả, người dùng phải có kiến ​​thức và trình độ nhất định.

Dựa trên blog giải nén Malwarebytes

Tìm thấy một lỗi đánh máy? Đánh dấu và nhấn Ctrl + Enter

Hệ thống phát hiện xâm nhập hoặc IDS (Hệ thống phát hiện xâm nhập)xuất hiện cách đây không lâu, ít nhất là khi so sánh với các phần mềm chống vi-rút hoặc tường lửa. Có lẽ vì lý do này mà các cơ quan dịch vụ an toàn thông tin không phải lúc nào cũng thấy cần thiết phải triển khai các giải pháp này mà tập trung vào các hệ thống khác trong lĩnh vực an toàn thông tin. Nhưng IDS có một lợi ích thiết thực và nó khá đáng kể.

Không giống như tường lửa hoạt động dựa trên các chính sách được xác định trước, IDS được sử dụng để giám sát và xác định hoạt động đáng ngờ. Vì vậy, IDS có thể được coi là một phần bổ sung quan trọng cho cơ sở hạ tầng an ninh mạng. Đó là với sự giúp đỡ củahệ thống phát hiện xâm nhập, quản trị viên sẽ có thể phát hiệntruy cập trái phép (xâm nhập hoặc tấn công mạng) vào hệ thống máy tính hoặc mạng và thực hiện các bước để ngăn chặn cuộc tấn công.

Nói chung là cảm ơn IDS, là một giải pháp phần mềm hoặc phần cứng, quản trị viên không chỉ có thể phát hiện sự xâm nhập hoặc tấn công mạng, đồng thời dự đoán các cuộc tấn công có thể xảy ra trong tương lai và tìm ra các lỗ hổng để ngăn chặn sự xâm nhập của chúng. Cuối cùng, kẻ tấn công trước tiên thực hiện một số hành động, chẳng hạn như quét mạng để phát hiện các lỗ hổng trong hệ thống mục tiêu. Ngoài ra, dịch vụ CNTT sẽ có thể ghi lại các mối đe dọa hiện có và bản địa hóa nguồn tấn công liên quan đến mạng cục bộ: các cuộc tấn công bên ngoài hoặc nội bộ.

Từ phát hiện xâm nhập đến ngăn chặn

Đổi lại, các hệ thống ngăn chặn IPS (Hệ thống ngăn chặn xâm nhập) xuất hiện trên cơ sở IDS, nghĩa là mỗi IPS bao gồm một mô-đun IDS. Về chức năng thì chúng khá giống nhau nhưng cũng có một điểm khác biệt đó là hệ thống đầu tiên đượcmột giải pháp “thụ động” giám sát các gói, cổng mạng, so sánh lưu lượng truy cập với một bộ quy tắc nhất định và cảnh báo khi phát hiện phần mềm độc hại, trong khi IPS chặn nó khi cố gắng xâm nhập mạng. Nếu có nguy cơ bị xâm nhập, kết nối mạng bị ngắt hoặc phiên người dùng bị chặn, ngừng truy cập vào địa chỉ IP, tài khoản, dịch vụ hoặc ứng dụng.

Ngoài ra, để tránh nguy cơ bị tấn công, các thiết bị IPS có khả năng cấu hình lại tường lửa hoặc bộ định tuyến. Một số giải pháp còn sử dụng việc tung ra các bản vá mới khi lỗ hổng của máy chủ tăng lên.Tuy nhiên, phải thừa nhận rằng Công nghệ IDS/IPS không làm cho hệ thống an toàn tuyệt đối.

Đặc điểm kiến ​​trúc

Có bốn công nghệ chính được sử dụng khi triển khai hệ thống IPS. Đầu tiên là việc lắp đặt các thiết bị chuyên dụng xung quanh chu vi của mạng công ty cũng như bên trong nó. Thông thường, IPS được tích hợp vào cơ sở hạ tầng vì tùy chọn này tiết kiệm chi phí hơn nhiều so với giải pháp độc lập. Trước hết, vì giá thành của một thiết bị tích hợp thấp hơn giá của một thiết bị độc lập và chi phí thực hiện cũng thấp hơn. Thứ ba, độ tin cậy cao hơn vì không có mắt xích bổ sung nào trong chuỗi lưu lượng dễ bị lỗi.

Theo quy định, IPS được tích hợp vào bộ định tuyến, sau đó hệ thống sẽ có quyền truy cập vào lưu lượng được phân tích. Đây là công nghệ thứ hai được sử dụng. Tuy nhiên, tùy chọn này có một nhược điểm: IPS được tích hợp vào bộ định tuyến chỉ có khả năng đẩy lùi các cuộc tấn công ở phạm vi mạng. Vì vậy, để bảo vệ tài nguyên nội bộ, cơ chế ngăn chặn tấn công được triển khai trong các thiết bị chuyển mạch mạng cục bộ.

Hệ thống IDS/IPS được cài đặt dọc theo vành đai mạng công ty

Tiền đồn thứ ba của IPS gắn liền với sự phổ biến ngày càng tăng nhanh chóng của công nghệ không dây. Vì vậy, các điểm truy cập không dây hiện đang được tích cực trang bị hệ thống IPS. Các giải pháp như vậy, ngoài việc phát hiện và ngăn chặn các cuộc tấn công khác nhau, còn có khả năng tìm kiếm các điểm truy cập và máy khách trái phép.

Một tuyến phòng thủ khác là máy trạm hoặc máy chủ. Trong trường hợp này, hệ thống IPS trên máy trạm hoặc máy chủ được cài đặt dưới dạng phần mềm ứng dụng trên hệ điều hành và được gọi là Host IPS (HIPS). Các giải pháp tương tự được sản xuất bởi nhiều nhà sản xuất. Ví dụ, bạn có thể đánh dấu các sản phẩm , , và những sản phẩm khác.

Việc sử dụng Host IPS giúp giảm tần suất cài đặt các bản cập nhật quan trọng, giúp bảo vệ dữ liệu nhạy cảm và giúp bạn đáp ứng các yêu cầu và nhiệm vụ theo quy định. Nó kết hợp hệ thống ngăn chặn xâm nhập dựa trên hành vi và chữ ký (IPS), tường lửa trạng thái và chặn ứng dụng để bảo vệ tất cả các điểm cuối—máy tính để bàn, máy tính xách tay và máy chủ—khỏi các mối đe dọa đã biết và chưa biết.

Những sai sót chính trong quá trình thực hiện

Hệ thống IDS/IPS là một công cụ khá phức tạp, đòi hỏi trình độ chuyên môn nhất định trong quá trình triển khai và sự chú ý liên tục trong quá trình vận hành. Nếu điều này không được thực hiện, hệ thống thường sẽ tạo ra tín hiệu sai, xác định không chính xác lưu lượng truy cập là độc hại.

Để hệ thống ngăn chặn xâm nhập hoạt động đáng tin cậy, độ chính xác phải được điều chỉnh. Ngoài ra, thiết bị phải liên tục được điều chỉnh khi cấu hình mạng thay đổi cũng như trước các mối đe dọa mới xuất hiện trên mạng.

Các chuyên gia nêu tên 7 sai lầm chính khi triển khai và vận hành hệ thống Host IDS/IPS.

Đầu tiên, bạn không thể chặn chữ ký có mức độ rủi ro trung bình và cao nếu không phân tích dữ liệu đã thu thập trước. Thay vào đó, chúng tôi khuyên bạn chỉ nên chặn những chữ ký có mức độ nghiêm trọng cao. Điều này sẽ cung cấp khả năng bảo vệ chống lại các lỗ hổng nghiêm trọng nhất với một số lượng nhỏ các sự kiện sai. Đổi lại, chữ ký ở mức độ nguy hiểm trung bình hoạt động theo thuật toán hành vi và thường yêu cầu cấu hình sơ bộ bắt buộc.

Thứ hai, bạn không thể sử dụng các chính sách giống nhau trong tất cả các hệ thống. Thay vào đó, bạn nên chia PC của mình thành các nhóm dựa trên ứng dụng và đặc quyền, bắt đầu bằng việc tạo hồ sơ tiêu chuẩn cho những hệ thống đơn giản nhất.

Hơn nữa, hệ thống Host IPS không chấp nhận nguyên tắc “đặt rồi quên nó đi”. Không giống như phần mềm chống vi-rút, cần phải giám sát và bảo trì hệ thống thường xuyên để đảm bảo tính chính xác và hiệu quả của việc bảo vệ.

Ngoài ra, bạn không thể kích hoạt chế độ IPS, tường lửa và chặn ứng dụng cùng lúc. Bạn nên bắt đầu với IPS, sau đó thêm tường lửa và bật chế độ chặn ứng dụng nếu cần.

Bạn cũng không nên để IPS, tường lửa hoặc cơ chế chặn ứng dụng ở chế độ thích ứng vô thời hạn. Thay vào đó, bạn nên bật chế độ thích ứng trong khoảng thời gian ngắn khi quản trị viên CNTT có cơ hội giám sát các quy tắc được tạo.

Cuối cùng, bạn không thể chặn ngay bất cứ thứ gì mà hệ thống nhận ra là có hành vi xâm nhập. Trước tiên, bạn nên đảm bảo rằng lưu lượng truy cập được quan sát thực sự độc hại. Các công cụ như chụp gói, IPS mạng và các công cụ khác sẽ trợ giúp việc này.

Ấn phẩm về chủ đề

Ngày 29 tháng 4 năm 2014 Nhiều công ty mua thiết bị di động bằng chi phí riêng của mình cho những nhân viên thường xuyên đi công tác. Trong những điều kiện này, dịch vụ CNTT có nhu cầu cấp thiết là kiểm soát các thiết bị có quyền truy cập vào dữ liệu của công ty nhưng nằm ngoài phạm vi mạng công ty.
Ngày 28 tháng 2 năm 2014 Như bạn đã biết, mười năm trước, virus di động đầu tiên trên thế giới, Cabir, đã xuất hiện. Nó được thiết kế để lây nhiễm vào điện thoại Nokia Series 60, cuộc tấn công bao gồm từ “Caribe” xuất hiện trên màn hình của điện thoại bị nhiễm. Các loại virus hiện đại dành cho thiết bị di động nguy hiểm và đa dạng hơn nhiều.
January 28, 2014 Theo nguyên tắc hoạt động, các máy ảo giống với máy vật lý. Do đó, cả nút ảo và nút vật lý đều hấp dẫn tội phạm mạng tấn công mạng công ty để đánh cắp tiền hoặc thông tin bí mật.
Ngày 30 tháng 12 năm 2013 Trên thực tế, các giải pháp bảo vệ điểm cuối đã xuất hiện trên thị trường cách đây không lâu, sau khi bắt đầu triển khai hàng loạt mạng cục bộ trong các công ty. Nguyên mẫu của những sản phẩm này là một phần mềm diệt virus thông thường để bảo vệ máy tính cá nhân.

Trong một thế giới lý tưởng, chỉ những người bạn cần mới tham gia vào mạng lưới của bạn - đồng nghiệp, bạn bè, nhân viên công ty... Nói cách khác, những người bạn biết và tin tưởng.

Trong thế giới thực, thường cần phải cấp quyền truy cập vào mạng nội bộ cho khách hàng, nhà cung cấp phần mềm, v.v. Đồng thời, nhờ toàn cầu hóa và sự phát triển rộng rãi của nghề tự do, khả năng tiếp cận với những người bạn không biết rõ và không biết rõ không phải sự tin tưởng đã trở thành một điều cần thiết.

Nhưng ngay khi bạn quyết định muốn mở quyền truy cập vào mạng nội bộ của mình 24/7, bạn nên hiểu rằng không chỉ “người tốt” mới sử dụng “cánh cửa” này. Thông thường, để đáp lại một tuyên bố như vậy, bạn có thể nghe thấy những điều như "à, đây không phải là về chúng tôi, chúng tôi có một công ty nhỏ", "ai cần chúng tôi", "chẳng ích gì khi phá bỏ những gì chúng tôi có."

Và điều này không hoàn toàn đúng. Ngay cả khi bạn tưởng tượng một công ty không có gì trên máy tính ngoại trừ hệ điều hành mới được cài đặt, thì đây vẫn là những tài nguyên. Tài nguyên có thể hoạt động. Và không chỉ dành cho bạn.

Do đó, ngay cả trong trường hợp này, những máy này có thể trở thành mục tiêu của những kẻ tấn công, chẳng hạn như để tạo botnet, khai thác Bitcoin, bẻ khóa băm...

Ngoài ra còn có tùy chọn sử dụng máy trên mạng của bạn để thực hiện các yêu cầu của kẻ tấn công proxy. Do đó, các hoạt động bất hợp pháp của họ sẽ ràng buộc bạn vào chuỗi gói và ở mức tối thiểu, sẽ khiến công ty phải đau đầu trong trường hợp kiện tụng.

Và ở đây câu hỏi được đặt ra: làm thế nào để phân biệt hành động hợp pháp với hành động bất hợp pháp?

Trên thực tế, câu hỏi này cần được trả lời bằng hệ thống phát hiện xâm nhập. Với sự trợ giúp của nó, bạn có thể phát hiện hầu hết các cuộc tấn công phổ biến trên mạng của mình và có thời gian để ngăn chặn những kẻ tấn công trước khi chúng đạt được bất kỳ điều gì quan trọng.

Thông thường, tại thời điểm thảo luận này, người ta nảy sinh ý nghĩ rằng những gì được mô tả ở trên có thể được thực hiện bởi một tường lửa thông thường. Và điều này đúng, nhưng không phải trong mọi thứ.

Sự khác biệt giữa chức năng tường lửa và IDS có thể không được nhìn thấy ngay từ cái nhìn đầu tiên. Nhưng IDS thường có thể hiểu nội dung gói, tiêu đề và nội dung, cờ và tùy chọn chứ không chỉ các cổng và địa chỉ IP. Nghĩa là, IDS hiểu được ngữ cảnh, điều mà tường lửa thường không thể làm được. Dựa trên điều này, chúng ta có thể nói rằng IDS thực hiện các chức năng của Tường lửa nhưng thông minh hơn. Ví dụ: Tường lửa thông thường không điển hình khi bạn cần cho phép kết nối trên cổng 22 (ssh), nhưng chỉ chặn một số gói có chứa một số chữ ký nhất định.

Tường lửa hiện đại có thể được bổ sung nhiều plugin khác nhau có thể thực hiện những việc tương tự liên quan đến kiểm tra sâu các gói. Thông thường các plugin như vậy được chính các nhà cung cấp IDS cung cấp để tăng cường sự kết hợp Tường lửa - IDS.

Nói một cách trừu tượng, bạn có thể coi IDS như một hệ thống báo động cho gia đình hoặc văn phòng của bạn. IDS sẽ giám sát chu vi và cho bạn biết khi có điều gì đó bất ngờ xảy ra. Nhưng đồng thời, IDS sẽ không ngăn chặn sự xâm nhập dưới bất kỳ hình thức nào.

Và tính năng này dẫn đến thực tế là ở dạng thuần túy, IDS rất có thể không phải là thứ bạn muốn từ hệ thống bảo mật của mình (rất có thể, bạn sẽ không muốn một hệ thống như vậy bảo vệ ngôi nhà hoặc văn phòng của mình - nó không có bất kỳ ổ khóa nào) .

Vì vậy, hiện nay hầu như bất kỳ IDS nào cũng là sự kết hợp giữa IDS và IPS (Hệ thống ngăn chặn xâm nhập).

Tiếp theo, bạn cần hiểu rõ sự khác biệt giữa IDS và VS (Máy quét lỗ hổng). Và chúng khác nhau về nguyên tắc hành động. Máy quét lỗ hổng là một biện pháp phòng ngừa. Bạn có thể quét tất cả các tài nguyên của bạn. Nếu máy quét tìm thấy thứ gì đó, bạn có thể sửa nó.

Tuy nhiên, sau thời điểm bạn quét và trước lần quét tiếp theo, các thay đổi có thể xảy ra trong cơ sở hạ tầng và quá trình quét của bạn sẽ mất đi ý nghĩa vì nó không còn phản ánh trạng thái thực sự của sự việc. Những thứ như cấu hình, cài đặt của từng dịch vụ, người dùng mới, quyền của người dùng hiện tại cũng như các tài nguyên và dịch vụ mới được thêm vào mạng có thể thay đổi.

Sự khác biệt giữa IDS là chúng thực hiện phát hiện theo thời gian thực với cấu hình hiện tại.

Điều quan trọng là phải hiểu rằng trên thực tế, IDS không biết gì về các lỗ hổng trong các dịch vụ trên mạng. Cô ấy không cần nó. Nó phát hiện các cuộc tấn công theo quy tắc riêng của nó - dựa trên sự xuất hiện của các dấu hiệu trong lưu lượng truy cập trên mạng. Do đó, nếu IDS chứa, chẳng hạn, các chữ ký cho các cuộc tấn công trên Máy chủ Web Apache, nhưng bạn không có nó ở bất kỳ đâu, thì IDS vẫn sẽ phát hiện các gói có các chữ ký đó (có thể ai đó đang cố gắng gửi một khai thác từ Apache tới nginx ngoài thiếu hiểu biết hoặc tạo ra một bộ công cụ tự động).

Tất nhiên, một cuộc tấn công như vậy vào một dịch vụ không tồn tại sẽ chẳng dẫn đến kết quả gì, nhưng với IDS, bạn sẽ biết rằng hoạt động đó đang diễn ra.

Một giải pháp tốt là kết hợp quét lỗ hổng định kỳ với kích hoạt IDS/IPS.

Các phương pháp phát hiện xâm nhập. Giải pháp phần mềm và phần cứng.

Ngày nay, nhiều nhà cung cấp cung cấp giải pháp IDS/IPS của họ. Và tất cả họ đều bán sản phẩm của mình theo những cách khác nhau.

Các cách tiếp cận khác nhau được thúc đẩy bởi các cách tiếp cận khác nhau để phân loại các sự kiện bảo mật, các cuộc tấn công và xâm nhập.

Điều đầu tiên cần xem xét là quy mô: IDS/IPS sẽ chỉ hoạt động với lưu lượng của một máy chủ cụ thể hay nó sẽ kiểm tra lưu lượng của toàn bộ mạng.

Thứ hai, đây là cách định vị sản phẩm ban đầu: nó có thể là một giải pháp phần mềm hoặc có thể là một giải pháp phần cứng.

Chúng ta hãy xem xét cái gọi là IDS dựa trên máy chủ (HIDS - Hệ thống phát hiện xâm nhập dựa trên máy chủ)

HIDS chỉ là một ví dụ về triển khai phần mềm của một sản phẩm và được cài đặt trên một máy. Do đó, hệ thống loại này chỉ “nhìn thấy” thông tin có sẵn trên một máy nhất định và theo đó, phát hiện các cuộc tấn công chỉ ảnh hưởng đến máy này. Ưu điểm của loại hệ thống này là khi vào máy, họ có thể nhìn thấy toàn bộ cấu trúc bên trong của nó và có thể theo dõi, kiểm tra nhiều đồ vật hơn. Không chỉ lưu lượng truy cập bên ngoài.

Các hệ thống như vậy thường giám sát các tệp nhật ký, cố gắng xác định các điểm bất thường trong luồng sự kiện, lưu trữ tổng kiểm tra các tệp cấu hình quan trọng và so sánh định kỳ xem ai đó có thay đổi các tệp này hay không.

Bây giờ hãy so sánh các hệ thống như vậy với các hệ thống dựa trên mạng (NIDS) mà chúng ta đã nói đến ngay từ đầu.

Để NIDS hoạt động, về cơ bản chỉ cần một giao diện mạng để NIDS có thể nhận lưu lượng truy cập.

Tiếp theo, tất cả những gì NIDS thực hiện là so sánh lưu lượng truy cập với các mẫu tấn công (chữ ký) được xác định trước và ngay khi có thứ gì đó rơi vào dấu hiệu tấn công, bạn sẽ nhận được thông báo về nỗ lực xâm nhập. NIDS cũng có khả năng phát hiện DoS và một số kiểu tấn công khác mà HIDS không thể nhìn thấy.

Bạn có thể tiếp cận sự so sánh từ phía bên kia:

Nếu bạn chọn triển khai IDS/IPS làm giải pháp phần mềm, bạn sẽ có quyền kiểm soát phần cứng nào bạn sẽ cài đặt nó. Và nếu bạn đã có phần cứng, bạn có thể tiết kiệm tiền.

Ngoài ra còn có các tùy chọn IDS/IPS miễn phí có sẵn trong quá trình triển khai phần mềm. Tất nhiên, bạn cần hiểu rằng khi sử dụng hệ thống miễn phí, bạn không nhận được sự hỗ trợ, tốc độ cập nhật và giải quyết vấn đề như với các tùy chọn trả phí. Nhưng đây là một nơi tốt để bắt đầu. Trong đó, bạn có thể hiểu những gì bạn thực sự cần từ các hệ thống như vậy, xem những gì còn thiếu, những gì không cần thiết, xác định các vấn đề và bạn sẽ biết những gì cần hỏi nhà cung cấp hệ thống trả phí ngay từ đầu.

Nếu bạn chọn giải pháp phần cứng, bạn sẽ nhận được một hộp gần như sẵn sàng để sử dụng. Ưu điểm của việc triển khai như vậy là rõ ràng - phần cứng được nhà cung cấp lựa chọn và anh ta phải đảm bảo rằng trên phần cứng này, giải pháp của anh ta hoạt động với các đặc điểm đã khai báo (không bị chậm, không bị treo). Thông thường bên trong có một số loại bản phân phối Linux với phần mềm đã được cài đặt sẵn. Các bản phân phối như vậy thường được lược bỏ rất nhiều để đảm bảo tốc độ hoạt động nhanh, chỉ để lại các gói và tiện ích cần thiết (đồng thời, vấn đề về kích thước của bộ kit trên đĩa được giải quyết - càng nhỏ thì càng cần ít ổ cứng - càng thấp). chi phí - lợi nhuận càng lớn!).

Các giải pháp phần mềm thường đòi hỏi rất cao về tài nguyên máy tính.

Một phần vì điều này, chỉ IDS/IPS hoạt động trong “hộp” và trên các máy chủ có phần mềm IDS/IPS thường luôn có rất nhiều thứ bổ sung đang chạy.