IDS/IPS: применение в информационных системах компаний

Оксана Ульянинкова
менеджер по маркетингу продуктов
компании "Код Безопасности"

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать традиционные межсетевые экраны (МЭ). МЭ фильтрует нежелательный трафик по определенным правилам,но не анализирует его и не предотвращает атаки. Поэтому для повышения надежности защиты используют системы обнаружения/предотвращения вторжений (IPS/IDS). Анализ современных угроз показывает, что защиты локальных файловых ресурсов недостаточно, так как сетевые рабочие места остаются без защиты. Современные методы борьбы с внутренними и внешними угрозами подтолкнули разработчиков к созданию продуктов класса Endpoint, призванных обеспечивать комплексную защиту АРМ в локальной сети.

Security Studio Endpoint Protection

Решение Security Studio End-point Protection, разработанное компанией "Код Безопасности", -это система для централизованной защиты сетевых рабочих мест от внешних угроз. Входящие в ее состав модули Personal Firewall, HIPS/IDS, Antivirus и модуль централизованного управления позволяют строить надежную защиту неизолированных сетевых рабочих мест, имеющих выход в сеть Интернет.

Полноценная система IDS представлена в решении компонентами "Локальная Безопасность" и "Детектор Атак". Важно отметить, что система IDS в составе SSEP совместима с антивирусными продуктами других производителей, что упрощает внедрение решения в сеть, где уже имеется антивирус.

"Детектор Атак"

Этот компонент позволяет обнаруживать, предотвращать все возможные атаки на систему из сети Интернет и локальной сети,   к   которой   подключено рабочее место. К угрозам, от которых может помочь "Детектор Атак", относятся, например, такие, как сканирование портов, отказ от обслуживания (Denial of Service, DoS-атаки), IP-spoofing, ARP-флуд (попытка "подвесить" систему), подмена IP- и МАС-адреса, ложные сообщения (типа "IP-адрес уже занят") и многие другие. В арсенале модуля имеется возможность настройки поведения при обнаружении атак, установив требуемый уровень тревоги, а также механизм визуальных и звуковых оповещений об обнаруженных атаках.

"Локальная Безопасность"

Принцип действия модуля "Локальная Безопасность", входящего в состав SSEP, строится на проактивной защите от действий вредоносных программ. Обеспечивается первая линия обороны с помощью технологии контроля компонентов, контроля Anti-Leak и контроля критических системных объектов. Модуль проактивно контролирует поведение и взаимодействие приложений на компьютере и защищает от несанкционированной активности.

Стоит отметить, что использование в сети продукта SSEP позволит не только построить надежную защиту рабочих мест, но и выполнить требования российского законодательства в области защиты персональных данных. Имея сертификат на каждый компонент, решение позволяет создать ИСПДн в соответствии с требованиями ФСТЭК России.

Honeypot Manager

Совместное применение и комбинация различных видов систем IPS/IDS увеличивают эффективность защиты в несколько раз. Отдельный вид IDS-систем - это системы класса Honeypot. Продукт Honeypot Manager разработки компании "Код Безопасности" способен дополнить защиту автоматизированной системы организации. Представляя собой сенсорную ловушку для злоумышленников, имитирующую систему хранения (на базе СУБД Oracle или файлового сервера), Honeypot Manager позволяет выявлять нарушителей (инсайдеров или внешних хакеров), действующих в локальной вычислительной сети предприятия, и анализировать их действия без риска потери реальных данных.

Использование решения Security Studio Endpoint Protection в сети позволит сохранить ресурсы, сосредоточенные на конечных точках, тогда как Honeypot Manager обеспечит защиту критической информации на серверах баз данных и 1С-серверах. Совместное применение позволит избежать проблем несовместимости решений, обеспечить непрерывность политики безопасности и повысить уровень защиты информационной системы от внешних и внутренних атак.