3. Systémy prevence vniknutí (IPS)

3.3. Architektury implementace systémů prevence narušení

Aby bylo možné chránit před neustále rostoucím počtem sofistikovaných únikových hrozeb, měly by systémy ochrany proti narušení nasadit inline hloubkové učení, které výrazně zlepšuje detekci a přesně identifikuje škodlivý provoz, který nebyl dříve zaznamenán, aniž by se spoléhaly na známé signatury zranitelností a útoků. Podobně jako neuronové sítě nebo jako pracuje lidský mozek, procházejí modely hlubokého učení několika vrstvami analýzy a zpracovávají miliony datových bodů v řádu milisekund. Každé rozhodnutí musí být provedeno opravdu rychle, aby nebyl ohrožen výkon a efektivita sítě. Tyto sofistikované systémy rozpoznávání vzorů analyzují aktivitu síťového provozu s bezkonkurenční přesností a identifikují nový škodlivý provoz, který nikdy předtím nebyl identifikován, v souladu s extrémně nízkou mírou falešně pozitivních výsledků.

Tato další vrstva inteligentní ochrany, kterou může nástroj IPS využívat, poskytuje další ochranu citlivých podnikových informací a zabraňuje sofistikovaným útokům a zranitelnostem, které mohou způsobit velké škody na síti, a tedy i na organizaci nebo společnosti.

Jednou z hlavních obav nejen systémů IDS, ale i nástrojů IPS je míra falešných pozitivních nálezů, kterou mohou produkovat. Každý poplach vyžaduje pozornost správce nebo týmu informačních technologií, což je časově náročné a vyžaduje hlubokou analýzu, aby bylo jisté, že poplach byl skutečně pozitivní. Stejné úsilí vyžadují i falešně pozitivní alarmy, které, pokud nejsou pravdivé, mají negativní dopad na tým a vedou ke ztrátě času a práce.

Stejně jako u systému IDS je i u IPS důležité porozumět bezpečnostním potřebám sítě a organizace, předem naplánovat implementaci a zajistit, aby byly dodrženy všechny bezpečnostní zásady. Také u systému IPS existují různé způsoby implementace, přičemž nejběžnější a nejrobustnější je jeho instalace mezi privátní a veřejnou sítí. Dobré plánování IPS by mělo brát v úvahu faktory, jako je komplexní ochrana v reálném čase proti zranitelnostem sítě a malwaru, stejně jako neznámé příkazy a kontroly. Řešení navíc musí být konzistentní, zjednodušené a umožňovat správnou správu zásad napříč podnikovým perimetrem, datovým centrem, veřejnými a privátními cloudy, mezi dalšími. Kromě toho může být také navrženo tak, aby zahrnovalo nástroje inteligence, jako je strojové učení, pro úspěšné předcházení útokům, a zároveň umožňovalo zachovat vysokou propustnost a nízkou latenci pro nulový výběr kritických hrozeb, aby se správci mohli soustředit na to nejdůležitější a nemarnili čas falešně pozitivními výstrahami.

Pokud jde o kritické infrastruktury, nástroje IPS ještě nejsou účinné a nesprávná implementace může síť více poškodit než ochránit. Kritické systémy, které pracují 24 hodin denně, 7 dní v týdnu, potřebují neustálou komunikaci a tok síťového provozu, přičemž pouhá, byť krátká přestávka může ohrozit nejen systém, ale v závislosti na typu kritického systému i lidské zdraví.

Systém IPS je ze své podstaty schopen blokovat a přerušovat komunikaci, což není vhodné pro použití v kritickém systému, kde komunikace nemůže být nikdy přerušena. Zde musí být plánování a návrh ve srovnání s běžnou počítačovou sítí ještě přesnější a pečlivější. Kritické systémy jsou však také cílem útoků a zranitelností a jejich ochrana je rovněž nutná.

Stejně jako u systémů IDS je běžné, že v síti jsou nainstalovány servery IPS a v různých dílčích sítích a LAN se používají různé servery.