Товарное предложение на рынке IDS/IPS


Яков Шпунт,

научный редактор

Intelligent Enterprise Корпоративные системы


Настоящий обзор посвящен средствам обнаружения и предотвращения вторжений (СОВ, в терминах ФСБ — СОА, система обнаружения атак, также очень широко используется английская аббревиатура IDS/IPS). Данный инструментарий распространен несколько менее, чем антивирусы или межсетевые экраны, но тем не менее в целом ряде сегментов их применение является фактически обязательным. Да и в целом чем крупнее компания, тем больше вероятность того, что для защиты ее сети применяются такого рода решения.

Для начала обратимся к определениям. Система обнаружения вторжений (СОВ, IDS) представляет собой программное или программно-аппаратное средство, которое занимается сбором и анализом подозрительных или нетипичных событий и процессов обмена входящего и исходящего сетевого трафика. В случае обнаружения аномалий (в том числе действий внешних или внутренних злоумышленников, вредоносного ПО) система, в зависимости от типа и настройки, уведомляет администратора или принимает некоторые самостоятельные действия по идентификации и устранению причины. Впрочем, последнее свойство отличает классическую СОВ от ее более современного варианта — системы предотвращения вторжений. СОВ отличается от межсетевого экрана тем, что последний ограничивает поступление определенного трафика и не отслеживает вторжения, происходящие внутри сети, а СОВ же пропускает трафик, анализируя его и выявляя подозрительную активность.

Система предотвращения вторжений (Intrusion Prevention System, IPS) уже должна не только отслеживать подозрительную активность в реальном времени, но и реализовывать действия по предотвращению атак. Это может достигаться такими мерами, как блокировка потоков трафика в сети, сброс соединений, проведение ряда манипуляций с пакетами (дефрагментация, переупорядочивание) или просто выдача сигналов оператору.

От IDS к IPS

В 1990-х, когда появился Интернет в его нынешнем виде и корпоративные интрасети, вопросы сетевой безопасности встали, что называется, со всей остротой. Тем более что к тому времени уже сформировалась среда хакеров, многие из которых становились профессиональными киберпреступниками, похищавшими денежные средства или конфиденциальную информацию. Кроме того, хакерский инструментарий активно начали использовать спецслужбы разных стран и промышленные шпионы, чьей целью является информация о новых перспективных разработках и ноу-хау.

В 1988 г. появилась экспертная система MIDAS, где модель впервые была реализована на практике. Тогда же была создана система Haystack, также решающая эти задачи, но с использованием другой модели, которая базируется на анализе статистики. В 1991 г. появился прототип распределенной системы, разработанный в Университете Калифорнии.

А в 1998 г. появились системы с открытым кодом APE (в следующем году переименованная в Snort) и BRO. Именно они стали первыми, реально работающими СОВ. Они существуют и развиваются до сих пор. На их основе построены и некоторые ПАК, в том числе и из настоящего обзора. Такой разрыв между теорией и ее воплощением на практике был связан с тем, что данная задача требует значительных вычислительных ресурсов, которых в 80-е и начале 90-х просто не было в распоряжении.

Коммерческие системы появились несколько позже, как программные, так и программно-аппаратные. По крайней мере уже в 2001 г. на рынке существовало несколько таких решений. К настоящему времени ПАК с функциями IDS/IPS предлагают такие компании (в алфавитном порядке), как CheckPoint, Cisco Systems, HP, IBM, Juniper, McAfee, Radware, Soucefire (в 2013 г. куплена Cisco), Stonesoft (в 2013 г. куплена McAfee). Представлены на рынке и многие отечественные системы (перечислены также в алфавитном порядке): ViPNET IDS (компания «Инфо ТеКС»), «Аргус» («Центр специальной системотехники»), Детектор атак «Континент» («Код безопасности»), «Рубикон» («Эшелон»), «Ручей-М» (УЦ «Униформ ПРО»), «ТОР» (НТЦ «Атлас»).

В первое время программные средства делились на те, что были ориентированы на защиту отдельных ПК (host-based), и на защиту корпоративных сетей (network-based). Однако спустя некоторое время системы, направленные на защиту рабочего места, были интегрированы в системы защиты конечных точек. Данный процесс завершился к 2007 г. Этому способствовала ситуация с угрозами в середине 2000-х годов, когда доминирующим классом вредоносного ПО стали троянцы, направленные как раз на кражу информации. Они же стали и основой для целевых атак, когда троянцев создавали в расчете на кражу информации строго определенного типа в данной конкретной компании или государственном ведомстве. Эта же ситуация способствовала тому, что появились системы, которые могли бы предпринимать действия по защите сети без участия администратора, так что трансформация IDS в IPS произошла довольно быстро.

Современные СОА используют три метода определения вредоносного трафика: на базе сигнатур; на базе выявления аномалий; на основе разработанных политик.

У каждого из таких подходов есть свои достоинства и недостатки. Использование сигнатур наиболее надежно и при этом практически не дает ложных срабатываний. Но есть риск столкнуться с тем, что злоумышленники успешно воспользуются таким алгоритмом проведения атаки, который неизвестен системе. Ведь не секрет, что разработчики средств защиты всегда действуют с некоторым запаздыванием. Применение методов выявления аномалий (или эвристический анализ) дает обратную ситуацию: можно выявить практически любую атаку, но при этом очень велико количество ложных срабатываний. Да и быстродействие при включении эвристики заметно (в 2-2,5 раза) снижается. При этом ложное срабатывание при определенных условиях может просто парализовать сеть, так что возможен эффект, сравнимый с иной атакой. Впрочем, в современных системах, где используются средства мониторинга и корреляции событий, ложных срабатываний существенно меньше. Те комплексы, где используются политики, позволяют выявлять любую нелегитимную активность, не имеют ложных срабатываний, но крайне трудоемки в настройке и требуют квалифицированного исполнителя, хорошо знающего защищаемую систему изнутри. Современные IDS/IPS системы позволяют использовать несколько алгоритмов, а часто и все три. Но стоит иметь в виду, что в системах начального уровня управление на базе политик или отсутствует в принципе, или их количество существенно ограничено.

Однако использование данных систем нельзя считать панацеей. Тем более что до 80% всех IDS/IPS не настраиваются должным образом. Это связано с нехваткой квалифицированного персонала. Но немалую роль тут играет и то обстоятельство, что системы устанавливаются лишь для того, чтобы формально соответствовать требованию регуляторов.

Меняется и ландшафт угроз. Например, современный инструментарий для проведения DDoS-атак позволяет довести их мощность до 400 Гбит/с, с чем физически может справиться считанное количество систем. Серьезные проблемы также создает такое явление, как размытие традиционного периметра сети вследствие распространения облачных технологий и мобильных устройств. А там часто используются нестандартные протоколы, которые остаются вне контроля.

Одна функция или несколько

Начиная с середины 2000-х годов на рынке систем обеспечения ИБ стала заметной тенденция к объединению в одном устройстве целого ряда функций. Они получили название UTM. Однозначного отношения к этой тенденции нет. С одной стороны, использование многофункционального средства позволяет решить три важных задачи, актуальность которых существенно растет в непростых экономических условиях, к которым еще добавляется отечественная специфика, связанная с дефицитом квалифицированных специалистов в области ИТ и ИБ.

Однако единый комплекс может стать и единой точкой отказа. Многие специалисты также придерживаются мнения, что многофункциональные комплексы более уязвимы. Кроме того, всегда есть риск, что не основные функции, в том числе IDS/IPS, не будут обладать приемлемой функциональностью или не будут иметь всего необходимого набора сертификатов.

О сегментации

В целом критерии сегментации СОВ близки к тем, что используются для межсетевых экранов. Рекомендованное максимальное количество пользователей, равно как и быстродействие, являются ключевыми параметрами для сегментации любого сетевого оборудования, в том числе и ПАК обеспечения информационной безопасности. Модельные ряды принято делить на устройства, предназначенные для малых офисов и филиалов (табл. 1), системы уровня подразделений (табл. 2), комплексы масштаба предприятия и ориентированные на операторов связи (табл. 3). Иногда устройства масштаба предприятия и ПАК, что позиционируются как рассчитанные на операторов связи, часто отличает только используемое электропитание: трехфазное переменного тока и постоянного тока 48 В, что является стандартом для телекома. Кроме того, системы операторского класса в большей степени направлены на защиту от DDoS-атак, в том числе и высокой мощности, тогда как комплексы, ориентированные на корпоративный сегмент, рассчитаны на противодействие внешним и внутренним злоумышленникам.

Табл. 1. IDS/IPS-системы для защиты малых офисных сетей.

Табл. 2. IDS/IPS-системы для защиты офисных сетей уровня подразделения.

Табл. 3. IDS/IPS-системы для защиты сетей масштаба предприятия.

Как правило, рекомендуемое число пользователей напрямую связано с пропускной способностью сегмента сети, который призвано защищать устройство. В настоящее время минимальным рекомендуемым порогом является 1 Мбит/с в расчете на одно рабочее место. В противном случае трудно рассчитывать на приемлемую производительность централизованных корпоративных приложений и облачных сервисов. Для целого ряда вертикальных рынков (ТЭК, энергетика, банки и страховые компании) эти показатели могут быть еще выше. Повышенные требования к пропускной способности сети накладывает и использование набирающей популярность технологии VDI. Так что значительный (на два порядка) разброс в производительности среди систем младшего уровня связан именно с ориентацией наиболее развитых устройств на применение как раз там, где требования к пропускной способности сети самые высокие.

Большая часть оборудования выпускается в стоечном исполнении. Это также можно объяснить тем, что для создания ПАК часто используется массовое серверное оборудование. Обычно вендор данный факт не скрывает, а иногда даже позволяет выбрать ту или иную модель из списка рекомендуемых. Например, Stonesoft предлагает в качестве платформы для своего IPS на выбор шесть моделей серверов от Fujitsu, HP, Oracle Hardware. Устройства ViPNet IDS российской компании «Инфо ТеКС» построены на базе серверов «Аквариус». ПАК семейства АПКШ «Континент» также построены на базе готовых платформ стандартной архитектуры, пусть и доработанных. В младшем сегменте есть и системы в настольном форм-факторе.

Чем выше класс оборудования, тем больше вычислительная мощность и системные ресурсы «на борту», при том что ПО на оборудовании одного вендора разных классов может иметь минимальные различия, а то и вовсе быть одним и тем же. Как уже было сказано выше, вычислительная мощность высококритична для такой непростой задачи, как выявление злонамеренной сетевой активности. При использовании одного и того же ПО зависимость между вычислительной мощностью и пропускной способностью сети с включенной защитой практически прямо пропорциональна.

Наиболее распространенными технологическими платформами для создания ПАК являются ARM и x86. Системы начального уровня используют или SoC на архитектуре ARM, или изначально рассчитанные на настольное применение системы x86. Оборудование среднего и высшего уровня базируется на серверных платформах. Комплексы среднего уровня представляют собой одно-двухсокетные системы, а высшего уровня имеют 4 и больше процессорных сокетов. Целый ряд комплексов высшего уровня базируются на блейд-архитектуре. Однако нетиповые, а иногда даже и уникальные аппаратные решения, являющиеся ноу-хау разработчика, специально спроектированные в расчете на данное применение, также используются.

Много значит и совершенство алгоритмов используемых ПАК. Основу их программной «начинки» может составлять как СПО-решение (Snort, BRO), так и проприетарное.

Количество портов Ethetnet не связано напрямую с классом ПАК. Так что далеко не редкость системы масштаба предприятия с 4 портами и младшие — с 8. Для данного класса оборудования, в отличие, например, от коммутаторов или маршрутизаторов, этот параметр в целом не имеет большого значения, что связано с особенностями функционирования СОВ, которые обычно ставятся в разрыв между глобальной и корпоративной сетями. Также количество портов практически не влияет на стоимость устройств. К тому же их число можно легко увеличить при необходимости, благо, что значительная часть оборудования имеет возможности для расширения базовой конфигурации. Хотя чем больше портов, тем меньше трудозатраты по монтажу и пусконаладке оборудования, особенно если речь идет о многофункциональном устройстве.

Зато на класс устройства указывает количество поддерживаемых сетевых интерфейсов или точек соединения глобальной и локальной сетей. Для наиболее дешевых устройств начального уровня это будет, скорее всего, один медный Ethernet. Хотя среди ПАК, позиционируемых в качестве систем начального уровня, встречаются модели с 2 и даже (одна) с 4 интерфейсами. Впрочем, это ПАК для довольно нетиповых применений, связанных с обработкой секретной информации. Но наличие нескольких интерфейсов, в том числе оптических, включая FiberChannel — уже признак оборудования для корпоративного рынка. Как правило, системы начального уровня поддерживают не более 2 интерфейсов, среднего — 2–4, высшего — 4 и более. Системы среднего и старшего уровня могут работать в байпас-режиме, тогда выход устройства из строя не приводит к отключению сети или ее сегмента. Устройства высоких классов позволяют отслеживать трафик с нескольких интерфейсов одновременно, что кратно повышает общее быстродействие ПАК. Так что далеко не случайно, что при описании технических характеристик часто указывают не только общую производительность системы, но и в расчете на один интерфейс (в наших таблицах приведено суммарное быстродействие). Особенно большое количество интерфейсов имеют системы, ориентированные на операторов связи или крупные корпоративные сети, например, старшие модели HP TrippingPoint или McAfee.

Важно отметить, что полноценное использование IDS/IPS требует привлечения дополнительных услуг. В итоге только за счет расходов на обновление сигнатур результирующая стоимость может оказаться выше конечной цены устройства, иногда значительно. Настройка политик, причем изменение ландшафта угроз может потребовать делать эту процедуру неоднократно в период эксплуатации, часто вызывает необходимость привлечения услуг консультантов. Впрочем, как уже было сказано, среди наиболее дешевых ПАК есть и такие, в которых управление на основе политик вовсе отсутствует, особенно если речь идет о многофункциональных системах, где функция IDS/IPS может не быть основной.

Другой важный момент — наличие российских сертификатов. Мы попытались включить в обзор только те модели, которые сертифицированы как минимум ФСТЭК. Это позволяет использовать комплексы IDS/IPS в качестве средства защиты сетей, обрабатывающих персональные данные.

Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.