Ќас знает голосовой помощник јлисајлиса это умеет

ћерион Ќетворкс

8 минут чтени€

ѕервые два типа систем (IPS - intrusion prevention system & IDS - intrusion detection system) по€вились в 1986 году как результат научной работы, и их базовые принципы до сих пор используютс€ повсюду Ц в системах предотвращени€ и обнаружени€, в NGIPS и NGFW Ц словом во всех системах, которые были упом€нуты в заголовке. ¬ статье мы расскажем, как IPS/IDS измен€лись со временем, с какими проблемами сталкивались разработчики и что можно от них ожидать в будущем.

»так, как мы уже сказали, системы обнаружени€ угроз и системы предотвращени€ угроз по€вились после написани€ научной статьи некой ƒороти ƒеннинг, и называлась эта стать€ Ђћодель обнаружени€ угрозї, и благодар€ этой статье —тэнфордский »сследовательский »нститут разработал нечто под названием Intrusion Detection Expert System/ (IDES). ¬ольно это можно перевести как экспертна€ система обнаружени€ угроз. ќна использовала статистическое обнаружений аномалий, сигнатуры и хостовые\пользовательские профили дл€ детектировани€ редискового поведени€ у систем. “аким образом, она могла определить если такие протоколы как FTP или HTTP были использованы некорректно и даже могла определ€ть атаки с отказом обслуживани€ (DoS).

Ёволюци€ систем IPS/IDS: прошлое, насто€щее и будущее

2000 - 2005: ќбнаружение предпочтительнее предотвращени€

¬ ранних 2000х системы обнаружени€ считались хорошим тоном. ј до этого межсетевые экраны были очень эффективны дл€ ландшафта угроз безумных 90х годов. ‘аерволы обрабатывали трафик относительно быстро, так как в них не было глубокой инспекции пакетов, то есть вы не знали, что это за трафик приходит к вам в сеть Ц фаерволы реагировали только на установленные в правилах (листах контрол€ доступа) порты, протоколы и\или сетевые адреса. ¬ начале 2000х по€вились новые атаки, такие как SQL-инъекции и прочие, и они моментально завоевали место на подиуме в арсенале взломщиков. » вот на этом этапе IDS системы и пригодились Ц а врем€ систем предотвращени€ угроз еще не настало.

¬ то врем€ некоторые организации бо€лись использовать IPS так как така€ система потенциально могла заблокировать безвредный трафик.  ак мы более подробно описывали в нашей статье про IPS и IDS, IPS ставитс€ Ђв разрывї и блокирует подозрительные соединени€, полностью разрыва€ коннект и св€зь между отправл€ющей и принимающими сторонами. Ќо как вы могли пон€ть, такое соединение могло стать подозрительным просто по причине какой-то аномалии в подключении и грубо говор€ Ђглюкеї. “аким образом, IDS системы просто сообщали о такой аномалии и ничего не блокировали, чтобы сисадмин мог среагировать и проверить - правда ли это что-то плохое или же это просто доброкачественна€ аномали€. ѕо этой причине в то врем€ рынок дл€ систем предотвращени€ угроз был настолько мал, что существовало всего несколько IPS вендоров. “о есть идеей было что нужно пропускать любой трафик, а разберемс€, мол, уже опосл€ Ц риск потери хорошего трафика был страшнее угрозы взлома.

¬ это врем€ сигнатуры писались дл€ обнаружени€ эксплойтов, но не у€звимостей Ц то есть дл€ каждой у€звимости было 100 разных способов эксплойта.  ак только злоумышленники находили у€звимость, они заставл€ли разработчиков IDS исходить потом и писать сотни разных сигнатур дл€ эксплойтов Ц все только дл€ того, чтобы система обнаружени€ отправила тревогу админу. » вендоры IDS хвастались количеством имеющихс€ у них сигнатрур, будто это выгодно отличало их от конкурентов Ц но как вы понимаете, это не было корректным критерием оценки. ¬ общем и целом, механизмы тогда насчитывали следующее полчище методов Ц совпадение по паттернам, строкам, аномали€м и даже эвристический анализ.


ѕрин€тие IPS - год 2005

 огда в 2005 году системы предотвращени€ начали становитс€ попул€рнее, большее количество вендоров стали соревноватьс€ за место под солнцем на растущем рынке, и перестали хвастать самыми длинными сигнатурами. ќп€ть же, по причине установки Ђв разрывї, клиенты бо€лись, что все эти сигнатуры будут замедл€ть сеть, так как каждое соединение должно быть пропущено через них. “аким образом, было решено сменить вектор написани€ сигнатур на другие Ц те, которые будут базироватьс€ не на эксплойте, а на самой у€звимости. Ѕыло получено опытным путем, что если в системе более 3500 сигнатур, то это будет заметно сказыватьс€ на производительности. —егодн€ производители все еще помещают в систему как новые сигнатуры, так и некую классику у€звимостей, которую злоумышленники могут использовать.


2006 Ц 2010: Ќастает врем€ производительных IPS/IDS комбайнов

¬ендоры, которые предлагали гибридные системы, быстро обошли конкурентов Ц они предлагали гораздо более производительные системы, вплоть до 5 √бит\сек, и могли мониторить сегментированные сети, DMZ, серверные фермы с веб-приложени€ми и площадь внутри периметра.   примеру, сегодн€ производительные IPS устройства легко дают более 40 гигабит в секунду.

¬ итоге, клиенты начали массово переходить на системы предотвращени€ вторжений и рынок начал очень быстро расти. ј когда по€вилс€ стандарт безопасности PCI DSS начал требовать от организаций поддержу оплаты картами установки или IDS, или ћ—Ё с возможностью фильтрации веб-приложений, очень много организаций купили гибридные системы. » прошло уже много лет с момента рождени€ технологии, так что технологию пор€дочно оттюнинговали и подрихтовали, так что, ложно-положительных срабатываний стало гораздо меньше. ќднако, в этот же момент начала расползатьс€ эпидеми€ ботнетов. » самым попул€рным способом стало помещение зловредных приложений на попул€рных сайтах, и, если какой-нибудь браузерный плагин вроде Java или Adobe Flash был с у€звимостью, при клике на соответствующий документ вредонос тихонько скачивалс€ на компьютер.  роме того, в 2008 году злоумышленники активно использовали перенаправл€ющие ссылки на вредоносные сайты, так что IDS/IPS вендоры начали также добавл€ть списки IP-адресов вредоносных командных центров и их веб-адресов Ц если эти ресурсы содержали на себе вредоносы.


2011 Ц 2015: —истемы предотвращени€ вторжений следующего поколени€

¬ эти годы был переломный момент дл€ вендоров в сфере »Ѕ Ц так как они стали выпускать системы предотвращени€ угроз следующего поколен€, которые включали в себ€ такие фичи как контроль пользователей и приложений. “аким образом, традиционный IPS смотрит в сетевой трафик на предмет известных аттак и что-то делает с этим трафиком, в зависимости от модели развертывани€, а IPS следующего поколени€ делает тоже самое, но кроме того он покрывает гораздо больше протоколов (вплоть до 7 уровн€) дл€ защиты от большего количества атак.  роме того, он также позвол€ет гибко контролировать доступ к приложени€м Ц то есть, например, чтобы можно было лайкать фотки в VK, но нельз€ было их заливать. » более того Ц чтобы это могли делать только определенные группы пользователей.

—ледующее дополнение к IDS/IPS системам по€вилось после взлома RSA (компании, котора€ занимаетс€ мультифакторной аутентификацией) в 2011 году Ц тогда новостные ресурсы назвали это APT (Advanced Persistent Threat)-атакой, то есть сложной посто€нной угрозой. ѕозже было сказано, что это была фишингова€ атака, в которой содержалс€ документ с вредоносом внутри.  лиенты стали спрашивать »Ѕ вендоров, могут ли они их защитить от подобных вещей, если у вендора нет сигнатуры на данный конкретный вредонос, и ответом вендоров было предоставление такой фичи как эмул€ци€ и песочницы Ц но это потребовало около 18 мес€цев дл€ большинства вендоров. “ак что компании FireEye и Fidelis оказались в фазе бурного роста, так как они предоставл€ли такие технологии песочницы, до которых всем было очень далеко. “олько подумайте, песочницы впервые за всю историю могли обнаружить до сих пор неизвестную атаку нулевого дн€.

 ак работает песочница: неизвестный исполн€емый файл или документ сначала попадает в песочницу, где он запускаетс€ в разных операционных системах и алгоритм пытаетс€ имитировать действи€ пользовател€ Ц клавиши стучат, мышка елозит и кликает, врем€ прокручиваетс€ Ц все в надежде на то, что вредонос вылупитс€ и себ€ покажет.

¬ендоры пошли чуть дальше. ≈сли вредонос себ€ про€вл€л, то его хэш-сумма (MD5 или SHA) сохран€лась дл€ того, чтобы в будущем всегда ловить такие файлы. —оответственно, если другой клиент на такой же системе получал тот же файл Ц то он не пропускалс€ в сеть и звучала тревога. “акие системы получили название Next Generation Firewall Ц межсетевых экранов следующего поколени€.

 онечно, √артнер использовал этот термин еще в 2003 году и предсказал, что они межсетевые экраны будут содержать внутри себ€ сложную IPS систему, но индустри€ не принимала подобные устройства вплоть до 2013 года.


2018 Ц и далее: ћежсетевые экраны следующего поколени€

—егодн€ большинство организаций используют NGFW и список их фич только растет. “ак как эти ћ—Ё отличаютс€ различными фичами, организаци€м придетс€ выбирать в зависимости от точности поставленной задачи и их требований.

ќп€ть же, есть за и против ћ—Ё следующего поколени€: за Ц нужно купить только пару желез€к вместо почти дес€тка. ѕротив Ц это все один вендор, и его мудрость ограничена, то есть не существует лучшего вендора, который знал бы все и сразу. “аким образом очень неплохой практикой €вл€етс€ комбинировать устройства защиты от разных производителей и разбавл€ть их Ђмудростьї между собой. ¬ажно помнить, что любое устройство защиты всегда хорошо только настолько, насколько богаты знани€ и опыт, сто€щие за этим устройством. ≈сть даже специальный термин Ц Threat Intelligence. “акие системы и базы знаний есть у всех больших »Ѕ вендоров. Ѕолее того, они есть полностью бесплатные и открытые Ц например, VirusTotal.

—егодн€ ландшафт угроз посто€нно мен€етс€ и большинство вендоров сконцентрировано на машинном обучении, чтобы алгоритмы анализа файлов всегда улучшались, а количество шума и ложных срабатываний стремилось к минимуму.

Ќо это бесконечна€ игра в кошки-мышки, и на каждый ход производителей хакеры придумают что-нибудь новое, что позже смогут нейтрализовать вендоры.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: