Ids - що це таке? Система виявлення вторгнень (ids) як працює?

IDS- що це таке? Як працює ця система? системи виявлення вторгнень - це програмні або апаратні засоби виявлення атак і шкідливих дій. Вони допомагають мереж і комп`ютерних систем давати їм належну відсіч. Для досягнення цієї мети IDS проводить збір інформації з численних системних або мережевих джерел. Потім система IDS аналізує її на предмет наявності атак. У даній статті буде зроблена спроба відповісти на питання: "IDS - що це таке і для чого вона потрібна?"

Для чого потрібні системи виявлення вторгнення (IDS)

Інформаційні системи та мережі постійно піддаються кібер-атакам. Брандмауерів і антивірусів для відображення всіх цих атак виявляється явно недостатньо, оскільки вони лише здатні захистити «парадний вхід» комп`ютерних систем і мереж. Різні підлітки, які вважають себе хакерами, безперервно нишпорять по інтернету в пошуках щілин в системах безпеки.

Завдяки всесвітній павутині в їх розпорядженні дуже багато абсолютно безкоштовного шкідливого софту - всяких слеммеров, слепперов і тому подібних шкідливих програм. Послугами ж професійних зломщиків користуються конкуруючі компанії для нейтралізації один одного. Так що системи, які виявляють вторгнення (intrusion detection systems), - нагальна потреба. Не дивно, що з кожним днем вони все ширше використовуються.

елементи IDS

До елементів IDS відносяться:

• детекторна підсистема, мета якої - накопичення подій мережі або комп`ютерної системи;
• підсистема аналізу, яка виявляє кібер-атаки і сумнівну активність;
• сховище для накопичення інформації про події, а також результати аналізу кібер-атак і несанкціонованих дій;
• консоль управління, за допомогою якої можна задавати параметри IDS, стежити за станом мережі (або комп`ютерної системи), мати доступ до інформації про виявлені підсистемою аналізу атаки і неправомірні дії.

До речі, багато хто може запитати: "Як перекладається IDS?" Переклад з англійської звучить як "система, яка застає на гарячому непроханих гостей".

Основні завдання, які вирішують системи виявлення вторгнень

Система виявлення вторгнень має дві основні задачі: аналіз джерел інформації і адекватна реакція, заснована на результатах цього аналізу. Для виконання цих завдань система IDS здійснює такі дії:

• моніторить і аналізує активність користувачів;
• займається аудитом конфігурації системи і її слабких місць;
• перевіряє цілісність найважливіших системних файлів, а також файлів даних;
• проводить статистичний аналіз станів системи, що базується на порівнянні з тими станами, які мали місце під час уже відомих атак;
• здійснює аудит операційної системи.

Що може забезпечити система виявлення вторгнень і що їй не під силу

Відео: Профтехосвіта Suricata IDS в Linux

З її допомогою можна домогтися наступного:

• поліпшити параметри цілісності мережевої інфраструктури;
• прослідкувати активність користувача від моменту його входження в систему і до моменту нанесення їй шкоди або твори будь-яких несанкціонованих дій;
• розпізнати і оповістити про зміну або видалення даних;
• автоматизувати завдання моніторингу інтернету з метою пошуку найостанніших атак;
• виявити помилки в конфігурації системи;
• виявити початок атаки і оповістити про це.

Відео: Основи роботи IPS

Система IDS це зробити не може:

• заповнити недоліки в мережевих протоколах;
• зіграти компенсаторну роль в разі наявності слабких механізмів ідентифікації і аутентифікації в мережах або комп`ютерних системах, які вона моніторить;
• також слід зауважити, що IDS не завжди справляється з проблемами, пов`язаними з атаками на пакетному рівні (packet-level).

IPS (intrusion prevention system) - продовження IDS

IPS розшифровується як "запобігання вторгнення в систему". Це розширені, більш функціональні різновиди IDS. IPS IDS системи реактивні (на відміну від звичайної). Це означає, що вони можуть не тільки виявляти, записувати і оповіщати про атаку, але також і виконувати захисні функції. Ці функції включають скидання з`єднань і блокування надходять пакетів трафіку. Ще однією відмінною рисою IPS є те, що вони працюють в режимі онлайн і можуть автоматично заблокувати атаки.

Підвиди IDS за способом моніторингу

NIDS (тобто IDS, які моніторять всю мережу (network)) займаються аналізом трафіку всієї підмережі і управляються централізовано. Правильним розташуванням декількох NIDS можна домогтися моніторингу досить великий за розміром мережі.

Вони працюють в нерозбірливому режимі (тобто перевіряють всі вступники пакети, а не роблять це вибірково), порівнюючи трафік підмережі з відомими атаками зі своєю бібліотеки. Коли атака ідентифікована або ж виявлено несанкціоноване активність, адміністратору надсилається сигнал тривоги. Однак слід згадати, що у великій мережі з великим трафіком NIDS іноді не справляються з перевіркою всіх інформаційних пакетів. Тому існує ймовірність того, що під час «години пік» вони не зможуть розпізнати атаку.

NIDS (network-based IDS) - це ті системи, які легко вбудовувати в нові топології мережі, оскільки особливого впливу на їх функціонування вони не роблять, будучи пасивними. Вони лише фіксують, записують і сповіщають, на відміну від реактивного типу систем IPS, про які йшлося вище. Однак потрібно також сказати про network-based IDS, що це системи, які не можуть виробляти аналіз інформації, підданої шифрування. Це істотний недолік, оскільки через все більш широкого впровадження віртуальних приватних мереж (VPN) шифрована інформація все частіше використовується кіберзлочинцями для атак.

Також NIDS не можуть визначити, що сталося в результаті атаки, завдала вона шкоду чи ні. Все, що їм під силу, - це зафіксувати її початок. Тому адміністратор змушений самостійно перевіряти кожен випадок атаки, щоб упевнитися в тому, що атакуючі домоглися свого. Ще однією суттєвою проблемою є те, що NIDS насилу фіксує атаки за допомогою фрагментованих пакетів. Вони особливо небезпечні, оскільки можуть порушити нормальну роботу NIDS. Що це може означати для всієї мережі або комп`ютерної системи, пояснювати не потрібно.

HIDS (host intrusion detection system)

HIDS (IDS, моніторять хост (host)) обслуговують лише конкретний комп`ютер. Це, природно, забезпечує набагато більш високу ефективність. HIDS аналізують два типи інформації: системні логи і результати аудиту операційної системи. Вони роблять знімок системних файлів і порівнюють його з більш раннім знімком. Якщо критично важливі для системи файли були змінені або видалені, то тоді адміністратору надсилається сигнал тривоги.

Відео: 05 Мережева безпека Системи виявлення та фільтрації комп`ютерних атак

Істотною перевагою HIDS є здатність виконувати свою роботу в ситуації, коли мережевий трафік піддається кодуванні. Таке можливо завдяки тому, що знаходяться на хості (host-based) джерела інформації можна створювати перед тим, як дані піддаються шифрування, або після їх розшифровки на хості призначення.

До недоліків даної системи можна віднести можливість її блокування або навіть заборони за допомогою певних типів DoS-атак. Проблема тут у тому, що сенсори і деякі засоби аналізу HIDS знаходяться на хості, який піддається атаці, тобто їх теж атакують. Той факт, що HIDS користуються ресурсами хостів, роботу яких вони моніторять, теж складно назвати плюсом, оскільки це, природно, зменшує їх продуктивність.

Підвиди IDS за методами виявлення атак

Метод аномалій, метод аналізу сигнатур і метод політик - такі підвиди за методами виявлення атак має система IDS.

Метод аналізу сигнатур

В цьому випадку пакети даних перевіряються на наявність сигнатур атаки. Сигнатура атаки - це відповідність події одному зі зразків, що описують відому атаку. Цей метод досить ефективний, оскільки при його використанні повідомлення про помилкові атаках досить рідкісні.

метод аномалій

При його допомозі виявляються неправомірні дії в мережі і на хостах. На підставі історії нормальної роботи хоста і мережі створюються спеціальні профілі з даними про це. Потім в гру вступають спеціальні детектори, які аналізують події. За допомогою різних алгоритмів вони виробляють аналіз цих подій, порівнюючи їх з «нормою» в профілях. Відсутність потреби накопичувати величезну кількість сигнатур атак - безсумнівний плюс цього методу. Однак чимала кількість хибних сигналів про атаки при нетипових, але цілком законних події в мережі - це безсумнівний його мінус.

метод політик

Ще одним методом виявлення атак є метод політик. Суть його - у створенні правил мережевої безпеки, в яких, наприклад, може вказуватися принцип взаємодії мереж між собою і використовуються при цьому протоколи. Цей метод перспективний, однак складність полягає в досить непростому процесі створення бази політик.

ID Systems забезпечить надійним захистом ваші мережі і комп`ютерні системи

Група компаній ID Systems на сьогоднішній день є одним з лідерів ринку в області створення систем безпеки для комп`ютерних мереж. Вона забезпечить вас надійним захистом від кібер-злочинців. З системами захисту ID Systems ви зможете не переживати за важливі для вас дані. Завдяки цьому ви зможете більше насолоджуватися життям, оскільки у вас на душі буде менше тривог.

ID Systems - відгуки співробітників

Прекрасний колектив, а головне, звичайно, - це правильне ставлення керівництва компанії до своїх співробітників. У всіх (навіть неоперених новачків) є можливість професійного росту. Правда, для цього, природно, потрібно проявити себе, і тоді все вийде.

Відео: Як обійти Touch ID в iOS 8 за допомогою Siri

У колективі здорова атмосфера. Новачків завжди всьому навчать і все покажуть. Ніякої нездорової конкуренції не відчувається. Співробітники, які працюють в компанії вже багато років, з радістю діляться всіма технічними тонкощами. Вони доброзичливо, навіть без тіні поблажливості відповідають на найдурніші питання недосвідчених працівників. Загалом, від роботи в ID Systems одні приємні емоції.

Ставлення керівництва приємно радує. Також радує те, що тут, очевидно, вміють працювати з кадрами, тому що колектив дійсно високопрофесійний підібрався. Думка співробітників практично однозначно: вони відчувають себе на роботі як вдома.