Komplexní zabezpečení sítě

Systém prevence narušení (IPS) je nástroj pro zabezpečení sítě, který nepřetržitě monitoruje síť, zda se v ní nevyskytuje škodlivá aktivita, a podniká kroky k jejímu zamezení, včetně hlášení o zablokování nebo odstranění, pokud k němu dojde. Jeho název může být podobný předchozímu popsanému tématu (systémy detekce narušení), nicméně předchozí mechanismus se zaměřuje pouze na identifikaci, neuplatňuje žádné akce, a tudíž nezabraňuje tomu, aby k útoku došlo.

IPS je navíc pokročilejší systém než IDS a je často součástí firewallu nové generace nebo řešení jednotné správy hrozeb. Běžně se také setkáváme s jeho spoluprací se serverem IDS, jako je tomu u předchozích řešení (SNORT a Suricata).

Stejně jako jiné bezpečnostní systémy, i IPS lze nalézt v softwarové i hardwarové podobě, kdy lze software nainstalovat do libovolného počítače a umístit jej do sítě za účelem ochrany, vždy s ohledem na hardwarové požadavky stroje. Stejně jako mnoho jiných technologií zabezpečení sítě musí být i IPS dostatečně výkonný, aby byl schopen zpracovávat velké množství dat síťového provozu, aniž by zpomaloval výkon sítě.

Systém prevence narušení se často umísťuje inline, do toku síťového provozu, mezi zdroj a cíl. Stejně jako IDS se IPS běžně nachází mezi privátní a veřejnou sítí, takže může analyzovat a monitorovat všechny síťové komunikační transakce mezi oběma sítěmi a správně zabránit privátní síti před útoky a jinými narušeními bezpečnosti. Jelikož je umístěn mezi oběma sítěmi, obvykle se nachází za firewallem.

Sám o sobě není server IPS schopen zcela ochránit síť, často pracuje ve skupině s dalšími bezpečnostními nástroji a řešeními a identifikuje hrozby, které tato řešení nedokážou identifikovat.

Protože server IPS filtruje škodlivé přenosy ještě předtím, než se dostanou k ostatním bezpečnostním zařízením a kontrolním prvkům, snižuje zátěž těchto kontrolních prvků a umožňuje jim pracovat efektivněji. Protože je IPS z velké části automatizovaný, vyžaduje od týmů IT menší časové investice, čímž splňuje mnoho požadavků na shodu s předpisy PCI DSS, HIPAA a dalšími. Kromě toho IPS poskytuje také cenná data z auditů, která lze využít k další analýze a stopě narušení nebo útoku. Taková data jsou důležitá v tom smyslu, že mohou poskytnout celkový pohled na incident a pomoci při identifikaci zdroje narušení a způsobu, jak mu do budoucna zabránit, aby se opakoval.

Stejně jako většinu ostatních bezpečnostních systémů a nástrojů lze i IPS přizpůsobit a zahrnout do nich personalizované zásady, aby odpovídaly konkrétním potřebám organizace a sítě, kterou chrání.

Řešení IPS zabraňují nejen průnikům, ale jsou také velmi účinná při detekci a prevenci zneužití zranitelností. Po objevení zranitelnosti obvykle existuje časový rámec, ve kterém mají aktéři hrozeb příležitost ji zneužít, než je k dispozici bezpečnostní záplata pro její opravu. Systém prevence narušení zde slouží k rychlému zablokování těchto typů útoků a k ochraně sítě v době, kdy není k dispozici oprava.

Zařízení IPS byla původně vytvořena a vydána jako samostatná zařízení v polovině roku 2000. Tato funkce však byla integrována do nástrojů pro jednotnou správu hrozeb spolu s dalšími bezpečnostními nástroji a službami pro malé a střední firmy a dnes i do firewallů nové generace na podnikové úrovni.

Novější řešení IPS jsou v současné době propojena s cloudovými výpočetními a síťovými službami, které jim umožňují poskytovat sofistikovanější přístup k ochraně před stále rostoucími kybernetickými bezpečnostními hrozbami, kterým čelí místní i globální organizace po celém světě.

Na rozdíl od systémů IDS, které pracují pasivně, pouze detekují a upozorňují na možné průniky a hrozby, je IPS umístěn v síti a kontroluje veškerý příchozí a odchozí síťový provoz mezi privátními a veřejnými sítěmi, nachází se přímo za firewallem nebo je jeho součástí. Toto řešení IPS aktivně analyzuje a provádí automatizované akce na všech tocích provozu, které vstupují do sítě:

 

·      odeslání alarmu správci (stejně jako v systémech IDS).

·      Zahození škodlivých paketů.

·      Blokování provozu ze zdrojové adresy.

·      Obnovení připojení.

·      Konfigurace brány firewall, aby se zabránilo budoucím útokům.

 

IPS musí jako inline bezpečnostní nástroj pracovat efektivně, aby nesnižoval výkon a efektivitu sítě, přičemž musí být dostatečně výkonný, aby síť řádně zabezpečil a zároveň zachoval její běžné funkce. Musí také pracovat v rychlém režimu, protože ke zneužití může dojít téměř v reálném čase, a musí být schopen přesně detekovat a reagovat, eliminovat hrozby a omezit falešně pozitivní poplachy. K tomu slouží několik technik a přístupů, které se používají k vyhledávání exploitů a ochraně sítě před neoprávněným přístupem.