ЖУРНАЛ СТА №2/2021

СТА 2/2021 ОБЗОР/АППАРАТНЫЕ СРЕДСТВА По мере перехода от эпохи Интерне- та к эпохе Интернета вещей проблемы сетевой безопасности становятся всё более серьёзными. Увеличивается не только количество организованных, преднамеренных атак в сети, но и сама форма кибератак становится всё более и более сложной и продвинутой. В этот новый век сетевой безопасности систе- мы обнаружения (IDS – Intrusion Detection System) и системы предотвра- щения вторжений (IPS – Intrusion Prevention System) приобретают всё большее значение. Н ОВЫЕ ТРЕБОВАНИЯ ДЛЯ IDS/IPS Традиционным брандмауэрам стано- вится всё труднее справляться с новы- ми типами кибервторжений, поэтому сегодняшняя сетевая защита требует всё более сложных и разнообразных воз- можностей. В результате системы IDS/IPS посте- пенно стали незаменимыми компонен- тами для построения эффективной инфраструктуры сетевой безопаснос- ти. IDS контролирует безопасность се- тевых операций, собирая и анализируя информацию в сети. Впоследствии эта информация используется для корректировки правил безопасности. IPS блокирует вторжения, реализуя на основе глубокого анализа сетевых дан- ных эти правила безопасности в реаль- ном времени. Традиционные технологии обнаружения Чтобы повысить вероятность обнару- жения вторжений и минимизировать количество ошибок, как IDS, так и IPS пользуются комплексными технология- ми обнаружения, включающими сопо- ставление функций, анализ протоколов и обнаружение аномалий. Сопоставле- ние функций применяется наиболее ча- сто благодаря высокой точности и ско- рости. Максимальная эффективность сопоставления функций зависит от ка- чества построения библиотеки функ- ций и от возможностей оборудования по их сопоставлению. Чтобы обнару- жить атаки переполнения и отказа в об- служивании (Denial of Service – DoS), анализатор протокола ищет подозри- тельное поведение в сети, учитывая принципы работы протокола (обычно основанные на Интернет-стандартах RFC). Эффективное использование этой технологии обеспечивает высокую достоверность обнаружения с почти ну- левым уровнем ошибок. Контроль ано- малий трафика обнаруживает неожи- данный аномальный трафик путём ана- лиза и настройки критериев нормаль- ного трафика для конкретной сетевой среды. Когда фактическая статистика для данного критерия трафика превы- шает пороговое значение, отправляется сигнал обнаружения аномалии. Несмотря на преимущества, каждая технология имеет свои недостатки. На- пример, сопоставление функций во из- бежание пропусков требует регулярно- го обновления библиотеки функций. Из-за значительных различий в реали- зации каждого протокола и недоступ- ности полных сведений о проприетар- ных протоколах анализ протокола обычно может быть реализован только для открытых протоколов, таких как HTTP, FTP и SMTP. Если пороговые значения трафика установлены непра- вильно, функциональность обнаруже- ния аномалий может привести к лож- ным срабатываниям. Поскольку коли- чество веб-сетей и постоянных угроз повышенной сложности (Advanced Persistent Threats – APT) продолжает расти, IDS/IPS, основанные на этих традиционных технологиях, будут рабо- тать неадекватно. Проблемы защиты веб-сетей HTTP – безусловно, самый распро- странённый источник сетевого трафи- ка. Согласно анализу статистики тра- фика по портам TCP Национальной технической группы по реагированию на чрезвычайные ситуации в компью- терных сетях / Координационного центра Китая (CNCERT), трафик в порту 80 намного выше, чем по другим портам (рис. 1). При таких условиях всё большее количество вирусов, троянов и ботнетов, естественно, использует ата- ки через HTTP. Веб-угрозы и киберата- ки нового поколения становятся всё бо- Решения для систем предотвращения вторжений В статье рассказывается о том, как высокопроизводительная масштабируемая платформа ADLINK CSA-7400 помогла компании NSFOCUS создать системы обнаружения и предотвращения вторжений (IDS и IPS) нового поколения 100G+, обеспечивающего более безопасные, надёжные и стабильные решения для передачи данных. 42 www.cta.ru