IPS мертвы или их просто недостаточно?

IPS мертвы или их просто недостаточно?
Помните ли вы, что в 2003-м году многие аналитики и журналисты активно публиковали материалы с заголовками "системы обнаружения атак мертвы". И проблемы с IDS уже тогда  были достаточно понятны и очевидны - ложные срабатывания и необнаружения реальных атак. Но шумиха шумихой, красивые названия красивыми названиями, а проблема реально существовала и существует, но относилась она не к системам обнаружения атак - это проблема управления и визуализации данных, получаемых средствами безопасности. Именно тогда стали появляться первые SIEM-решения, которые и взяли на себя непростую задачу по отсеиванию из миллионов событий безопасности того, что могло заинтересовать службы ИБ. Но вернемся к IDS.

Давайте вспомним, где традиционно ставится система обнаружения вторжений? Преимущественно на периметре корпоративной или ведомственной сети. Потому что там проще контролировать входящий трафик и там нет проблем с доступом к трафику. Внутри локальной сети внедрение IDS превращается в шаманство. Либо вы должны использовать коммутаторы с модулями IPS (а такой вендор в мире всего один), либо пытаться перенаправить трафик с нескольких портов коммутатора на порт, к которому и подключен сенсор IPS. Но тут возникают сложности - и порт этот может быть занят, и трафик коммутируется не весь, и производительности сенсора не хватает, и сетевики не дают снизить производительность коммутатора за счет перенаправления всего трафика на IPS. А если еще вспомнить про способы обхода IDS/IPS, то становится понятно, что одних систем предотвращения вторжений явно не хватает для эффективного решения контроля трафика на предмет поиска в нем вредоносного кода.



Чем можно расширить защитные свойства IPS? Ну очевидно - межсетевые экраны, сетевые антивирусы, системы контентной фильтрации... Это распространенные защитные стратегии, которым следуют многие компании и предприятия.


Но достаточно ли их? Очевидно, что сигнатурные методы, а большинство современных средств защиты (что бы производители не говорили об эвристических механизмах) все-таки не спасают от многих угроз. По крайней мере в реальном масштабе времени. Да, 95% всех атак происходит из-за известных дыр, знанием о которых средства защиты оснащены. Но ведь остаются еще 5%. Они и составляют сегодня основную угрозы. По данным разных компаний рост целенаправленных (или как говорят апологеты "русского" языка - таргетированных) атак составляет от 35 до 50 процентов за прошедший год. Это большие цифры. Атаки перестают быть массовыми. Их сложно становится ловить с помощью традиционным подходов. Ловушки, обманные системы тут не срабатывают. Ведь они ставятся в местах массового протекания трафика (так действуют многие антивирусные компании) и, следовательно, пропускают целенаправленные атаки, разработанные под конкретную жертву. Потом, может быть, антивирусный вендор узнает об этой угрозе, но может пройти и год и два, прежде чем наступит это радостное событие. Достаточно вспомнить Stuxnet, Duqu, Flame, чтобы понять, что это правда.


Значит ли это, что традиционные сигнатурные подходы и средства, их реализующие, мы должны выбросить на помойку? Конечно нет. Свою задачу они решают и решают неплохо. Но только свою. Они являются необходимым, но уже явно недостаточным условием для построения эффективной защиты. Новым решением, устраняющим зияющие пробелы в системе защиты, могут стать системы сетевого поведенческого анализа (network-based behavior monitorig/analysis или network-based anomaly detection).


Их идея проста. Что объединяет всех? Пользователей, разные устройства, разные ОС, разные приложения... Сеть! Именно по ней передается трафик, который мы и должны контролировать. Но с точки зрения поиска узких мест в сети, источников широковещательного трафика, точек потери пакетов и т.п., а с точки зрения получения доступа к такому набору информации, который позволяет ответить нам на множество насущных вопросов, важных для борьбы с внутренней угрозой (с внешней мы научились худо-бедно бороться).


В чем преимущество такого решения? Оно видит все - на него передается информация по протоколу NetFlow (или sFlow) с любого сетевого устройства - коммутатора, включая виртуального, маршрутизатора, включая облачного, и т.п. И средства защиты ему могут передавать такую информацию (например, есть межсетевые экраны, отдающие статистику по NetFlow). И даже приложения и виртуальные сервера - они тоже могут. Иными словами решения по анализу сетевого трафика могут служить его коллекторами. Но чем тогда такой коллектор отличается от IPS? Не только объемом собранной информации.



Такие решения обычно оснащены аналитическими инструментами, позволяющими на основании собранной информации и разработанных (или встроенных) правил принимать решения о том или ином нарушении политики безопасности. Вот как, например, может выглядеть передача большого объема данных, что может быть как примером утечки, так и примером закачки пиратского контента (поняв направление передачи, можно сделать более точный вывод).


А вот так может выглядеть та же картинка, но с добавлением информации о пользователе корпоративной сети и используемом им устройстве. Т.е. мы к контенту добавляем контекст, о котором я уже писал .


Но и традиционные задачи решения по анализу сетевого трафика также могут решать. Например, обнаруживать DDoS-атаки.


Или просто ответить на вопрос: "Какими приложениями чаще всего пользуются работники и служащие?" Например, применяются ли пиринговые приложения для обхода традиционных защитных средств?


Ну и конечно, как и у любого корпоративного продукта, информацию и аналитику можно получать по разным срезам и за разные интервалы времени.



Если подытожить, то что дают такие решения для безопасников помимо описанных выше преимуществ? Ну, во-первых, эти решения можно использовать совместно с айтишниками (и наоборот). Собираемые исходные данные одни и те же - сетевой трафик. Во-вторых, эти решения идеально подходят в тех случаях, когда периметр сети размывается и сложно найти одну-две точки, куда и можно воткнуть межсетевой экран с системой предотвращения вторжений. Системам сетевого анализа все равно откуда идет трафик - если он проходит через коммутатор или маршрутизатор, сведения о нем по NetFlow можно перенаправить куда угодно и там проанализировать. В условиях активного размывания границ периметра, перехода на корпоративную мобильность, обращения к аутсорсингу ЦОДов и облачным вычислениям это становится более чем актуально. В-третьих, эти решения эффективно функционируют и в виртуальных средах, для которых средств защиты пока не так и много. И наконец, эти средства не относятся к средствам защиты информации, а следовательно не подлежат обязательной сертификации. Пустячок, а приятно и иногда облегчает жизнь.

Не пытайтесь навешивать на свою сеть все что ни попадя. Это не всегда решает проблем с безопасностью, а иногда и ухудшает ситуацию, создавая иллюзию защищенности. Не забывайте использовать то, что у вас всегда под рукой - вашу сетевую инфраструктуру.
SIEM NBAD
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь