3. SYSTEMY ZAPOBIEGANIA WŁAMANIOM (IPS)

3.2. Rodzaje i charakterystyka systemów ochrony przed włamaniami

Istnieją różne rodzaje systemów ochrony przed włamaniami, o różnych cechach i właściwościach, podobnie jak można było to zrozumieć w przypadku systemów wykrywania włamań. Podobnie jak IDS-y, IPS-y można również sklasyfikować jako oparte na sygnaturach, anomaliach i polityce. Tutaj systemy ochrony przed włamaniami oparte na sygnaturach wykorzystują podejście oparte na znanych podatnościach i sygnaturach ataków, gdzie metodą jest dopasowanie aktywności do tych sygnatur i podniesienie lub nie alarmu i działania w razie potrzeby. Jedną z wad tej metody jest to, że jest w stanie zatrzymać tylko wcześniej zidentyfikowane ataki i nie będzie w stanie rozpoznać nowych. Ten typ IPS nie biorą pod uwagę żadnych nieznanych podatności i nie będzie umieścić żadnych działań do sieci, jeśli nowy atak występuje.

Ten typ IPS wykorzystuje słownik unikalnie identyfikowalnych wzorców, czyli sygnatur, w kodzie każdego exploita. Gdy exploit zostaje odkryty, jego sygnatura jest zapisywana i przechowywana w stale rosnącym słowniku sygnatur. Wykrywanie sygnatur dla IPS dzieli się na dwa podtypy:

·      Sygnatury ukierunkowane na exploity - identyfikują poszczególne exploity poprzez wyzwalanie na podstawie unikalnych wzorców danej próby wykorzystania. System IPS może zidentyfikować konkretne exploity, znajdując w strumieniu ruchu dopasowanie do sygnatury ukierunkowanej na exploity.

·      Sygnatury ukierunkowane na podatność - wykorzystanie szerszych sygnatur, które celują w podstawową podatność w systemie, który jest celem ataku. Sygnatury te pozwalają chronić sieci przed wariantami exploita, które mogły nie zostać bezpośrednio zaobserwowane w środowisku naturalnym, ale również zwiększają ryzyko wystąpienia fałszywych pozytywów.

 

W przeciwieństwie do poprzedniego, wdrożenie IPS opartego na anomaliach skupia się na monitorowaniu nieprawidłowych zachowań poprzez porównywanie losowych próbek ruchu sieciowego i aktywności z wzorcem bazowym. Nie koncentruje analizy na sygnaturach, lecz na zachowaniu całej sieci, identyfikując nieprawidłowe wzorce i sekwencje ruchu, aby podnieść alarm i zastosować odpowiednie działania. W porównaniu z poprzednim typem, ten jest bardziej solidny, ponieważ nie skupia się tylko na znanych podatnościach, ale także na możliwych nowych. Mimo, że jest bardziej wytrzymały, może również generować wyższy wskaźnik fałszywych wyników pozytywnych, jeśli nie zostanie odpowiednio skonfigurowany i dostosowany do polityki bezpieczeństwa. Niektóre nowsze i bardziej zaawansowane systemy ochrony przed włamaniami wykorzystują sztuczną inteligencję i technologie uczenia maszynowego do wspierania monitorowania opartego na anomaliach, jednak konieczne jest wykorzystanie zbiorów danych dotyczących normalnych zachowań, aby odpowiednio wytrenować maszynę, co w przypadku systemów krytycznych nie zawsze jest łatwym zadaniem.

Systemy IPS oparte na anomaliach pobierają próbki losowego ruchu sieciowego i porównują je z obliczonym wcześniej poziomem wydajności bazowej. Gdy próbka aktywności ruchu sieciowego znajduje się poza wybranymi parametrami lub progami wydajności bazowej, IPS podejmuje działania w celu poradzenia sobie z sytuacją.

Trzeci typ, policy-based intrusion protection system, jest mniej popularny spośród tych trzech i wykorzystuje polityki bezpieczeństwa zdefiniowane przez przedsiębiorstwo, blokując działania, które naruszają te polityki. Ten typ IPS wymaga całkowitej konfiguracji polityk bezpieczeństwa, a co za tym idzie, mocnego planowania i projektowania, jak również częstej aktualizacji i administracji.

Niektórzy uczeni, podobnie jak ma to miejsce w przypadku IDS-ów, również klasyfikują system IPS na cztery kolejne typy, zgodnie z ich naturą: network intrusion prevention system (NIPS); host intrusion prevention system (HIPS); network behaviour analysis (NBA) oraz wireless intrusion prevention system (WIPS).

Pierwsze dwa typy są znów podobne do systemów wykrywania włamań, gdzie instalowane są na poziomie sieci lub hostów. NIPS są instalowane na poziomie sieci i tylko w strategicznych punktach, aby monitorować całą sieć, lub podsieć. Proaktywnie monitoruje ruch sieciowy i skanuje w poszukiwaniu zagrożeń. HIPS instalowany jest na poziomie punktu końcowego, takiego jak komputer czy serwer i skupia się na analizie ruchu przychodzącego i wychodzącego tej konkretnej maszyny. W tym miejscu należy wziąć pod uwagę, że im większa liczba HIPS w sieci, tym większy będzie tworzony ruch IPS, a co za tym idzie, większe będzie obciążenie sieci. HIPS działa lepiej w połączeniu z NIPS, ponieważ służy jako ostatnia linia obrony dla zagrożeń, które ominęły NIPS.

Jeśli chodzi o analizę zachowania sieci, czyli NBA, to działa ona na zasadzie analizy ruchu sieciowego w celu wykrycia nietypowych przepływów ruchu, takich jak na przykład ataki DDoS (Distributed Denial of Service).

Ostatni typ IPS, WIPS, jest przeznaczony specjalnie do sieci bezprzewodowych, skanując je w poszukiwaniu nieautoryzowanych dostępów i wyrzucając z sieci nieautoryzowane urządzenia.