Системы предотвращения атак (Intrusion Prevention Systems, IPS) считаются эволюционным преемником IDS и призваны решить недостатки своих «предков», проявляющиеся в последнее время все острее. Слишком много стало случаться неизвестных ранее атак, сигнатуры для которых отсутствуют в принципе. Если десять лет назад для относительно безопасной работы достаточно было пополнять базу сигнатур десятью-двенадцатью шаблонами ежемесячно, то пять лет спустя для достижения аналогичного уровня безопасности требовалось шесть ежедневных сигнатур. Сегодня их количество исчисляется десятками, а то и сотнями.

Поэтому как грибы после дождя последние пару лет появляются системы защиты, в которых от сигнатурного анализа либо отказываются вовсе, либо совмещают его с более «интеллектуальными» методами выявления потенциально опасной активности: детекторами аномалий протоколов, контролем поведения трафика и, наконец, базами поведенческих профилей (наиболее востребованного для защиты рабочих станций и серверов [хостов] решения). Существует еще такой метод, как эвристический анализ кода, но он не получил широкого распространения из-за обилия ложных срабатываний. Впрочем, в комбинации с другими алгоритмами его эффективность достаточно высока.

Если одна сигнатура описывает одну атаку, то поведенческий профиль дает системе представление о целом типе подобных вторжений. Если IDS может опознать одну разновидность червя, но пропустить другую из-за различий в коде, то IPS пресечет активность любой модификации, так как будет ориентироваться на общую схему враждебных действий – например, несанкционированное создание новой учетной записи.

Новые веяния в сфере обнаружения атак и переход от пассивной регистрации вторжений к проактивному предотвращению и являются отличительными чертами IPS. При обнаружении подозрительных действий система принимает те или иные меры в соответствии с настройками администратора. Например, через файрвол блокирует опасный трафик.

Вендоры IPS в основном те же, что и у IDS; правда, переход к новым системам изменил рыночную диспозицию. Классификация на хостовые и сетевые системы тоже сохранилась. Однако если продукты для защиты отдельных рабочих станций так и называют – HIPS, то для сетевых аналогичная аббревиатура NIPS применяется редко. Более распространено название «сетевые IDS/IPS-системы» (системы обнаружения и предотвращения вторжений), поскольку в них наряду с другими методами сохранился сигнатурный анализ. IPS обычно используют для защиты периметра сети, важнейших его сегментов. В остальных случаях довольствуются IDS-функциональностью.

Системы HIPS-класса (локальные сенсоры) дополняют сетевую «линию обороны» защитой рабочих станций. Широкое (для решений подобного класса) распространение получили Cisco Security Agent, Prevx Pro, SecureHost IPS (Intruision), Safe’n’Sec (StarForce), TruPrevent (Panda) и McAfee Entercept. Эти системы можно рассматривать в качестве профилактического дополнения к существующим «классическим» антивирусам и прочему защитному софту (см. таблицу), а также как подушку безопасности, расположенную между ядром ОС и запущенными приложениями, которые потенциально могут нести угрозу. Особенно актуально такое ПО в период вирусных эпидемий, которые, увы, вспыхивают в Сети все чаще. Ведь HIPS постоянно отслеживают запуск или остановку сервисов, работу всех приложений и прочую активность, обращая особое внимание на то, в какой последовательности выполняются системные действия. Большая часть HIPS позволяет коррелировать данные о событиях, поступающие из разных источников: от антивирусов, журналов ОС и пр. Помимо оперативности реагирования корреляция сводит к минимуму количество ложных срабатываний (см. врезку).

Чтобы обеспечить согласованную работу разномастных средств информационной безопасности, используются так называемые SIM-системы (Security Information Management). Применительно к IDS/IPS-средствам они упоминаются преимущественно как возможность заметно снизить количество ошибочных предупреждений. SIM-системы обрабатывают массивы данных, поступающих от антивирусов, маршрутизаторов, межсетевых экранов, а также IDS/IPS, и результатом их трудов является корреляционный анализ и визуализация полученной информации. Одна из ключевых особенностей систем – возможность представления итоговых данных в унифицированном виде для принятия решений. Ведь источники от разных вендоров поставляют данные в разных форматах, и порой их очень непросто «привести к общему знаменателю».

Но в контексте статьи нас больше интересует проблема ложных вызовов. Вопреки распространенной точке зрения о том, что чрезмерная бдительность лучше недостаточной, на практике оказывается, что ошибочные уведомления могут крайне негативно влиять на безопасность. Непрерывный поток однотипных сообщений, появляющихся на консоли, часто приводит к тому, что администратор перестает не только проверять каждое, но и просто читать их. Десятки, а то и сотни тысяч уведомлений в день – обычное дело в любой крупной корпоративной сети.

SIM-система накапливает сигналы от разных источников в одной консоли, удаляя избыточную информацию (например, данные об одном и том же событии, полученные разными сенсорами). Следующий этап – агрегирование событий по типу. И наконец, собственно корреляция, в рамках которой система сопоставляет полученные от разных источников сообщения и делает вывод о возможности успеха атаки. Если риск минимален или вообще отсутствует (Windows-вирус пробирается в сеть, работающую под Unix), то администратор не получит никакого уведомления.