Komplexní zabezpečení sítě

Existují různé typy systémů ochrany proti vniknutí s různými vlastnostmi a funkcemi, stejně jako to bylo možné pochopit u systémů detekce vniknutí. Stejně jako systémy IDS lze i systémy IPS rozdělit na systémy založené na signaturách, anomáliích a zásadách. Systémy ochrany proti narušení založené na signaturách zde používají přístup založený na známých signaturách zranitelností a útoků, kdy je metodou přiřazení aktivity k těmto signaturám a případné vyvolání či nevyvolání poplachu a opatření. Jednou z nevýhod této metody je, že je schopna zastavit pouze dříve identifikované útoky a nebude schopna rozpoznat nové. Tento typ IPS nebere v úvahu žádné neznámé zranitelnosti a v případě výskytu nového útoku neprovede v síti žádnou akci.

Tento typ IPS používá v kódu každého exploitu slovník jednoznačně identifikovatelných vzorů neboli signatur. Jakmile je exploit objeven, jsou jeho signatury zaznamenány a uloženy do neustále rostoucího slovníku signatur. Detekce signatur pro IPS se dělí na dva podtypy: 

·      Signatury zaměřené na zneužití - identifikují jednotlivá zneužití spuštěním na základě jedinečných vzorů konkrétního pokusu o zneužití. IPS může identifikovat konkrétní exploity nalezením shody se signaturou zaměřenou na exploity v datovém toku.

·      Signatury zaměřené na zranitelnost - použití širších signatur, které se zaměřují na základní zranitelnost v systému, který je cílem útoku. Tyto signatury umožňují chránit sítě před variantami zneužití, které nemusely být přímo pozorovány ve volné přírodě, ale také zvyšují riziko falešně pozitivních výsledků.

Na rozdíl od předchozí implementace IPS založené na anomáliích se sledování abnormálního chování zaměřuje na porovnávání náhodných vzorků síťového provozu a aktivity se základním standardem. Nesoustřeďuje analýzu na signatury, místo toho se zaměřuje na chování celé sítě, identifikuje abnormální vzory a abnormální sekvence provozu, aby mohla vyvolat poplach a použít odpovídající opatření. Ve srovnání s předchozím typem je tento typ robustnější v tom smyslu, že se nezaměřuje pouze na dobře známé zranitelnosti, ale také na možné nové. Ačkoli je robustnější, může také produkovat vyšší míru falešně pozitivních výsledků, pokud není správně nakonfigurován a přizpůsoben bezpečnostní politice. Některé novější a pokročilejší systémy ochrany proti narušení využívají technologie umělé inteligence a strojového učení k podpoře monitorování na základě anomálií, je však nutné použít soubory dat o uvažovaném běžném chování k řádnému vyškolení stroje, což v konkrétním případě kritických systémů není vždy snadný úkol.

IPS založené na anomáliích odebírají vzorky náhodného síťového provozu a porovnávají je s předem vypočtenou základní úrovní výkonu. Pokud je vzorek síťové provozní aktivity mimo zvolené parametry nebo prahové hodnoty základní výkonnosti, IPS přijme opatření k řešení situace.

Třetí typ, systém ochrany proti narušení založený na zásadách, je z těchto tří typů méně častý a využívá bezpečnostní zásady definované podnikem a blokuje činnosti, které tyto zásady porušují. Tento typ IPS vyžaduje celkovou konfiguraci bezpečnostních politik, a tedy důkladné plánování a návrh, stejně jako častou aktualizaci a správu.

Někteří vědci, podobně jako je tomu u IDS, dělí systém IPS podle jeho povahy na další čtyři typy: systém prevence narušení sítě (NIPS), systém prevence narušení hostitele (HIPS), systém analýzy chování sítě (NBA) a systém prevence narušení bezdrátové sítě (WIPS).

První dva typy se opět podobají systémům detekce narušení, které jsou instalovány na úrovni sítě nebo hostitele. Systémy NIPS jsou instalovány na úrovni sítě a pouze na strategických místech, aby monitorovaly celou síť, případně dílčí sítě. Proaktivně sledují síťový provoz a vyhledávají hrozby. HIPS se instaluje na úrovni koncového bodu, například počítače nebo serveru, a zaměřuje se na analýzu příchozího a odchozího provozu daného počítače. Zde je třeba vzít v úvahu, že čím vyšší je počet HIPS v síti, tím vyšší je vytvořený provoz IPS, a v důsledku toho bude vyšší i zatížení sítě. HIPS funguje lépe v kombinaci s NIPS, protože slouží jako poslední linie obrany proti hrozbám, které pronikly přes NIPS.

Pokud jde o analýzu síťového chování neboli NBA, pracuje s analýzou síťového provozu s cílem odhalit neobvyklé toky provozu, jako jsou například útoky DDoS (Distributed Denial of Service).

Poslední typ IPS, WIPS, je určen speciálně pro bezdrátové sítě, které skenuje a zjišťuje neoprávněné přístupy a vyřazuje neoprávněná zařízení ze sítě.