Ips checkpoint что это
In short, an Intrusion Prevention System (IPS), also known as intrusion detection prevention system (IDPS), is a technology that keeps an eye on a network for any malicious activities attempting to exploit a known vulnerability.
An Intrusion Prevention System’s main function is to identify any suspicious activity and either detect and allow (IDS) or prevent (IPS) the threat. The attempt is logged and reported to the network managers or Security Operations Center (SOC) staff.
Наш брандмауэр нового поколения - это
больше, чем просто брандмауэр
Теоретическая часть в формате видеоурока
Если вас интересуют другие материалы по Check Point, то здесь вы найдете большую подборку (Check Point. Подборка полезных материалов от TS Solution). Также вы можете подписаться на наши каналы (YouTube, VK, Telegram), чтобы не пропустить новые статьи, курсы и семинары.
Подробнее о моделях коммутаторов Extreme можно посмотреть здесь.
Провести бесплатный аудит настроек безопасности Check Point можно здесь
Системы предотвращения вторжений обнаруживают или предотвращают попытки использования слабых мест в уязвимых системах или приложениях, защищая от попыток взлома. Средства защиты IPS Check Point в нашем межсетевом экране нового поколения обновляются автоматически. Независимо от того, когда появилась уязвимость: много лет или несколько минут назад – ваша организация всегда защищена.
Эффективное и гибкое развертывание
- Предварительно определенные рекомендуемые профили готовы к использованию и настроены для оптимизации безопасности
- Определите правила активации сигнатуры, которые соответствуют потребностям безопасности ваших сетевых активов
- Дополнительный режим только для обнаружения устанавливает для всех средств защиты только обнаружение, чтобы позволить вам оценить свой профиль
Secure
Check Point IPS delivers thousands of signature and behavioral preemptive protections
How do Intrusion Prevention Systems work?
IPS technologies have access to packets where they are deployed, either as Network intrusion detection systems (NIDS), or as Host intrusion detection systems (HIDS). Network IPS has a larger view of the entire network and can either deployed inline in the network or offline to the network as a passive sensor that receives packets from a network TAP or SPAN port.
The detection method employed may be signature or anomaly-based. Predefined signatures are patterns of well-known network attacks. The IPS compares packet flows with the signature to see if there is a pattern match. Anomaly-based intrusion detection systems uses heuristics to identify threats, for instance comparing a sample of traffic against a known baseline.
360° Visibility and Reporting
Achieve an unmatched level of visibility to detect and prevent threats. Check Point IPS seamlessly integrates with SmartEvent, enabling SOC (Security Operations Center) staff to respond to the highest priority events first, saving them time.
IPS обнаруживает и предотвращает:
Помощь профессионалов
Унифицированность
Включите IPS на любом шлюзе безопасности Check Point, снизив общую стоимость владения
Заключение
Безусловно, Infection Monkey это не панацея и не может отразить все потенциальные проблемы в защищенности сети. Но для бесплатного инструмента это более чем интересно. Как уже говорил, можно “пошуметь” в сети и посмотреть, как ведут себя ваши средства защиты. Те же NGFW с дефолтными настройками могут вести себя крайне неудовлетворительно. Если полученный результат вас не устраивает, мы можем помочь с анализом вашей конфигурации.
В ближайшее время мы планируем опубликовать подобные тесты для другого инструмента (Cymulate), которым можно воспользоваться бесплатно, триальной версией. Там уже гораздо больше вариантов атаки. Кроме результатов мы поделимся рекомендациями, как усилить защиту. Чтобы не пропустить следующие статьи следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
Продолжаем нашу серию уроков по Check Point. На этот раз мы обсудим одну из моих любимых тем, а именно — IPS (Intrusion Prevention System) По-русски — система предотвращения вторжений. Причем акцент именно на Prevention (т.е. предотвращение)! Одно из главных кредо компании Check Point это: “We Prevent, not detect!”. Лично я согласен с такой позицией. Какой толк от детекта, если вас атаковал например шифровальщик? Зашифрованный компьютер и так вам сообщит, что была атака. В текущих реалиях нужно позаботиться именно о Prevent. И IPS здесь может очень хорошо помочь.
Однако, в последнее время наблюдается некое пренебрежение этим классом защиты, мол “IPS больше не актуален и использовать его бессмысленно”. На мой взгляд это мнение является непростительной ошибкой. Собственно в этом уроке я постараюсь описать основные бытующие заблуждения на счет IPS. Затем в рамках лабораторной работы покажу каким образом IPS поможет усилить защиту вашей сети. Ну и конечно же постараюсь рассказать, как получить максимум от этого полезного инструмента, на какие настройки обратить внимание и о чем нужно помнить включая IPS.
Урок получился весьма длинным поэтому я разбил его на две части. Первая часть будет чисто теоретическая, а вторая уже полностью посвящена практике в виде лабораторной работы. Надеюсь, что будет интересно.
Спойлер — В конце статьи видео урок, если кому-то удобнее смотреть, а не читать.
Product Specifications
Виртуальное исправление
Установка исправлений – это недостаточная мера безопасности, которая может оставить вашу сеть открытой для атак. Применяя более комплексный подход, который сочетает в себе надежную функциональность IPS с согласованной стратегией установки исправлений, сетевые администраторы могут лучше подготовиться к работе по установке исправлений и защитить сеть в период между обновлениями и установкой исправлений.
Сопутствующие продукты
Эффективные
Наши технологии ускорения позволяют безопасно включить IPS. Низкий уровень ложных срабатываний экономит драгоценное время ваших сотрудников
Отчет о кибербезопасности за 2021 год
Узнайте о последних угрозах в сети, в облаках и в мобильных устройствах
Timely IPS Updates
Real-Time Protections: IPS is constantly updated with new defenses against emerging threats. Many of the IPS protections are pre-emptive, providing defenses before vulnerabilities are discovered or exploits are even created.
Попробуйте сейчас
Запросить стоимость
Infection Monkey
Данный инструмент можно отнести к BAS (Breach and Attack Simulation) системам, которые позволяют оценить защищенность вашей сети в автоматическом режиме. При этом выполняется безопасный “пентест” вашей инфраструктуры. Инструмент с открытым исходным кодом и активно развивается. Наверно его главное отличие в том, что все тесты проходят внутри вашей сети, как-будто злоумышленник уже проник к вам. Большинство до сих пор концентрируется на защите периметра, при этом забывая о необходимости и других мер. Тот же IDS/IPS весьма важен для комплексной защиты, т.к. позволяет определять угрозы, которые уже внутри сети. Infection Monkey — это неплохой способ оценить зрелость ИБ в вашей компании.
Поддерживаемые платформы
Сам Infection Monkey может быть развернут в виде виртуальной машины. Поддерживаются следующие платформы:
- VMware
- Hyper-V
- AWS
- Docker
- Azure
- Google Cloud Platform
Установка
Сама инсталляция предельно проста и описана здесь, не вижу смысла дублировать эту информацию. Там же инструкция по запуску проверки. Мы же лучше сосредоточимся на результатах тестирования.
Используемые техники атаки
Infection Monkey использует несколько векторов атаки и позволяет увидеть следующие вещи:
1) Уязвимые хосты. Находит узлы со слабыми паролями, старыми версиями ПО или известными уязвимостями. Вот список эксплойтов на борту:
3) Горизонтальное распространение. Отображение перемещения “зловреда” в графическом виде. Как “пересаживается” бот в вашей сети.
Все это дополняется подробной отчетностью. Например с помощью матрицы MITRE ATT&CK:
Отчет по Zero Trust модели:
Также это хорошая проверка для ваших существующих средств защиты. Смогли ли они задетектировать эту активность? Все ли логи прилетели на ваш SIEM?
FAQ по Infection Monkey
Прежде чем перейти к результатам теста хотелось бы ответить на несколько самых распространенных вопросах об Infection Monkey.
Нет. Infection Monkey использует абсолютно безопасные способы пентеста, которые не могут привести к деградации ваших сервисов
Нагрузка практически отсутствует. К примеру на одноядерной системе (Windows Server) Monkey потребляет менее 0.6% CPU и менее 80 МБ оперативной памяти
Два варианта использования NIPS
Давайте рассмотрим архитектурное применение IPS. Здесь тоже все довольно просто, есть два варианта использования сетевого IPS:
- Inline mode. По-русски мы это называем “в разрыв”. Т.е. реальный сетевой трафик проходит через IPS. IPS в данном случае работает как обычный бридж (т.е. на втором уровне модели OSI). Данный режим самый оптимальный с точки зрения защиты. В случае обнаружения атаки, IPS может сразу заблокировать сессию и компьютер атакующего. Есть конечно и негативные моменты в виде false positive срабатываний, ну т.е. ложных срабатываний, когда IPS блочит нормальный трафик. Но это отдельная тема, мы чуть позже ее обсудим.
- Promiscuous mode. Опять же, по-русски — режим мониторинга. Как правило в таком режиме IPS “вешается” на SPAN-порт, который “зеркалирует” на устройство КОПИЮ! трафика. В этом варианте, IPS автоматически превращается в IDS, т.к. он работает уже не с реальном трафиком и у него нет возможности оперативно блокировать атаки. Т.е. это плохой вариант, когда требуется максимальная защищенность.
IPS в UTM устройствах. Packet Flow
С точки зрения обработки трафика, пакеты сначала проверяются firewall-ом и если они разрешены соответствующими аксес листами, то только тогда включается IPS и начинает проверять проходящий трафик. Собственно этот алгоритм обработки трафика раскрывает концептуальное различие между Межсетевым экраном и Системой предотвращения вторжений.
“Межсетевой экран стремится предотвратить прохождение того или иного трафика. IPS же работает с уже прошедшим трафиком.”
Это логично не только с точки зрения безопасности, но и с точки зрения производительности. Зачем исследовать трафик, который может быть быстро отброшен фаерволом с минимальными ресурсными затратами. Это к вопросу, стоит ли ставить IPS перед firewall-ом. Однозначно нет! Только представьте сколько “левого” трафика будет на него сыпаться от разных ботов, которые сканируют в Интернете все подряд.
Что ж, на этом мы заканчиваем наше затянувшееся лирическое отступление. Давайте перейдем к типичным заблуждениям на счет IPS. Я постараюсь их развенчать на примере Check Point-а.
Технические характеристики
Результаты Check Point IPS с моим профилем
Настройки были выполнены в соответствии с рекомендациями, которые были даны в рамках курса “Check Point на максимум”. Результат получился уже совсем другой:
При этом IPS предотвратил заражение хоста и дальнейшее распространение Infection Monkey.
Стоит отметить, что у Check Point-а довольно хорошая форензика. Вот так выглядит сам лог:
Здесь вы можете посмотреть и дамп трафика, и номер CVE, и тип атаки, и подробную информацию о ней, а так же рекомендации по настройке Check Point. Пример:
В этом плане Check Point хорошо поработал, т.к. у них имеется богатая база знаний по всевозможным зловредам.
Efficient and Flexible Deployment
- Predefined recommended profiles allows out-of-the-box use and are tuned to optimize security
- Define signature activation rules that match the security needs of your network assets
- Optional detect-only mode sets all protections to only detect to allow you to evaluate your profile
IPS в корпоративных сетях
Теперь, если коснуться истории распространения IPS решений в корпоративных сетях, то получается примерно следующая картина:
В начале 2000-х компании весьма скептически относились к этому новому классу решений защиты. Большинство считали IPS какой-то экзотической штукой, которая не особо то и нужна.
Уже после 2005-го большинство осознали пользу и необходимость IPS. Начался бум внедрений по всему миру.
К 2010 году IPS стал фактически необходимым стандартным средством защиты корпоративной сети.
Ближе к 2015-му рынок IPS относительно остыл. IPS по стандарту был практически во всех UTM/NGFW решениях. Все переключились на SIEM, защиту от таргетированных атак, песочницы, хонейпоты и т.д. При этом совсем забыв про важность IPS. Но это мы уже обсудим чуть дальше.
Теперь, когда мы немного освежили знания об истории появления IPS, хочется обсудить еще один момент. А именно классы IPS. В грубом приближении все IPS-решения можно разделить на два класса:
- NIPS работает на уровне сети, т.е. сканирует проходящий/транзитный трафик.
- HIPS работает на уровне компьютера пользователя, т.е. с тем трафиком, который предназначен непосредственно этому компьютеру, ну либо генерирует сам хост.
Результаты Check Point IPS с профилем Optimized
Еще в курсе Check Point на максимум я пытался показать, чем опасны дефолтные настройки. Это касается всех вендоров. Надо уметь правильно “закручивать” гайки. В данном случае я решил сначала проверить дефолтный профиль Check Point — Optimized. Результаты можно посмотреть на картинке ниже:
Стоит отметить, что с дефолтным профилем Infection Monkey успешно “взломал” тестовый хост (несмотря на примитивность атаки). Нужная сигнатура просто не была включена.
Типичные заблуждения на счет IPS
1. IPS защищает только от атак сетевого уровня
Пожалуй это самый распространенный миф. Исторически конечно IPS в первую очередь защищал от сетевых атак, таких как сканирование портов, брутфорс, некоторые виды ddos-а ну и конечно борьба с аномалиями. Однако! Многие до сих пор не знают, что IPS может проверять и скачиваемые файлы! И если файл содержит exploit, то IPS заблокирует его скачивание быстрее чем Anti-Virus, т.к. IPS работает в потоке трафика, а Anti-Virus вынужден ждать пока в буфер скачается весь файл. Т.е. IPS проверяет такие файлы как pdf, doc, xls и многое другое. Я обязательно покажу это в лабораторной работе. Поэтому, включенный IPS существенно повысит защиту ваших пользователей, которые качают из интернета различные файлы. Не пренебрегайте этим дополнительным уровнем защиты!
2. IPS уже не актуален и ни от чего не защищает
Еще один популярный миф. Безусловно, в последнее время профессиональные хакеры стараются не использовать классические инструменты атаки, такие как сканирование портов, брутфорс и т.д. И все потому, что такие атаки сразу заметны и генерят огромное кол-во алертов на классических средствах защиты. Однако! Это имеет место быть только при очень сложных и таргетированных атаках, когда за дело берется настоящий профессионал. 99% всех успешных атак — автоматизированные боты, которые сканируют сеть на предмет известных уязвимостей, которые затем и эксплуатируют. IPS все это видит! Более того, опять же вспомнив wannacry, после обнаружения этой уязвимости, Check Point выпустил IPS-сигнатуру буквально через пару дней. Microsoft же выпустил заплатку куда позже (через пару недель на сколько я помню). Включенный IPS с актуальными сигнатурами отлично отражает подобные автоматизированные атаки, которые до сих пор преобладают (да и вряд ли что-то изменится в ближайшем будущем).
3. IPS не надо часто обновлять
Собственно в предыдущем пункте я констатировал, что включенный IPS именно с АКТУАЛЬНЫМИ сигнатурами обеспечивает защиту от автоматизированных атак. Почему-то многие считают, что регулярно обновлять нужно только антивирусные базы, при этом напрочь забывая про IPS. А ведь сигнатуры для IPS появляются или обновляются буквально каждый день. Для примера можно воспользоваться ресурсом Check Point. Как видите только за последние пару дней вышло несколько новых сигнатур. Либо были обновлены ранее созданные.
IPS с актуальными базами это очень важно. Как я уже сказал ранее, IPS сигнатуры выходят быстрее чем патчи от вендоров. Если у вас старые сигнатуры, то ваш IPS просто в пустую молотит трафик и бесцельно расходует системные ресурсы. И не верьте отечественным производителям СОВ, которые говорят, что обновление раз в месяц это нормально (как правило именно такой период они ставят и скорее всего это связано с тем, что они используют базы snort, которые для бесплатной версии обновляются с задержкой в 30 дней).
4. IPS существенно снижает производительность устройства
Что я могу сказать об этом мифе. И да и нет. Безусловно, включение IPS увеличивает нагрузку и на процессор и на оперативную память. Но все не так драматично, как принято считать. Колоссальное повышение нагрузки при включении IPS как правило проявляется в двух случаях:
- Вы (или Вам) неправильно подобрали решение. Будь то аппаратный аплайнс или виртуальное решение. Это к вопросу, что все необходимо тестировать перед покупкой. Опять же, тут многое зависит от того, кто подбирает решение. Уделяйте этому особое внимание. Внимательно пользуйтесь даташитами на устройства. Там обязательно указывается пропускная способность устройства при включенном IPS. Ну и опять же, у Check Point-а есть инструмент сайзинга, который дает весьма реалистичные рекомендации по поводу подходящей модели. Обязательно пользуйтесь сайзингом! Если у вас нет доступа к этому инструменту, просите своих партнеров.
- Вторая и самая распространенная причина повышенной загрузки из-за IPS — включено слишком много сигнатур. Это одна из крайностей использования IPS, когда включаются абсолютно все доступные сигнатуры, по причине того, что изначально не понятно, какие именно нужны. Это очень грубая ошибка приводит к просто дикой загрузке устройства и большому количеству ложных срабатываний. Напоровшись на это многие администраторы решают отключить IPS, т.к. с ним пограничный шлюз просто “загибается”. Как быть? Ну для начала нужно определить, что именно вы собираетесь защищать. Логично предположить, что если у вас в DMZ находится почтовый сервер на Linux-е, то наверно не стоит включать для этого сегмента сигнатуры связанные с уязвимостями Microsoft, MacOS, Android, Wordpress и т.д. Думаю общий смысл понятен. Молотить трафик всеми сигнатурами без разбора — очень дорого. Чтобы IPS эффективно расходовал ресурсы, необходимо включить только нужные сигнатуры и выключить ненужные. Звучит просто. Но реализация представляется весьма сложной. Отсюда растет следующий миф.
5. IPS трудно настраивать
Отчасти это справедливое мнение, которые имело место быть. На самом деле многие IPS решения до сих пор весьма сложны в освоении. Но это не про Cheсk Point. Давайте по порядку. Как обычно выглядит сигнатура? Как правило это что-то вроде:
IGSS SCADA ListAll Function Buffer Overflow
WebGate Multiple Products WESPMonitor Stack Buffer Overflow
И попробуй разберись, что это за сигнатура, для чего она, сильно ли нагрузит шлюз ее включение, насколько она критична? К счастью в Check Point-е есть подробное описание каждой сигнатуры. Описание видно прямо в SmartConsole и вам не придется гуглить каждое название. Более того, для удобства, Check Point присвоил каждой сигнатуре несколько тегов:
- Severity (т.е. уровень опасности, которую может закрыть данная сигнатура);
- Confidence level (уровень достоверности сигнатуры, т.е. какова вероятность адекватности срабатывания этой сигнатуры. Это очень важная характеристика особенно для поведенческого анализа)
- Performance Impact (этот тэг показывает на сколько сильно включенная сигнатура будет грузить устройство)
- Vendor — вы можете отфильтровать сигнатуры по Вендору (например уязвимости связанные со всеми продуктами компании Adobe или Microsoft)
- Product — возможно отфильтровать по продукту (например Microsoft Office или WordPress).
С помощью этих тегов, можно довольно быстро сформировать список сигнатур, которые вы хотите включить. И для этого вам не надо иметь семь пядей во лбу. Ну и естественно перед этим вам нужно сделать небольшой аудит сети и понять, какой софт используют ваши сотрудники.
Более подробно работу с этими тегами мы обсудим уже в лабораторной работе.
6. Работа с IPS это нудная и рутинная работа
Я уже много раз говорил, что информационная безопасность это не результат, а непрерывный процесс. Нельзя один раз настроить систему и забыть про нее. Нужна непрерывная, систематическая доработка. Тоже самое касается IPS. И тут обычно возникают трудности. Практически любая более менее адекватная IPS система генерит огромное кол-во логов. Как правило они выглядят подобным образом:
А теперь представьте, что этих логов набралось несколько тысяч за неделю. Каким образом вам анализировать их? Как понять какие события происходят чаще всего? Какие сигнатуры возможно надо выключить или какие хосты возможно стоит заблокировать на уровне firewall-а?
Конечно логи чекпоинта выглядят более привлекательно и наглядно:
Тут видно и Severity и Performance Impact и Confidence Level. Однако это не решает проблему анализа такого большого количества событий. Как правило именно здесь вспоминают про SIEM системы, которые призваны агрегировать, коррелировать и выполнять первичный анализ событий. К счастью у Check Point есть встроенная SIEM система — Smart Event. Этот блейд позволяет видеть логи IPS уже в обработанном и агрегированном виде:
Как вы понимаете, с этим уже гораздо проще работать. Главная ценность SIEM в том, что эта система позволяет “увидеть” вашу защищенность в количественном выражении. В любой работе нужно видеть результат и здесь гораздо проще ориентироваться на цифры. В нашем примере мы видим, что присутствует довольно большое количество логов с Severity уровня Critical. Именно с ними и нужно начинать работу. Более того, мы видим, что наибольшее количество событий связано с сигнатурой GNU Bash Remote Code Execution. Разбор стоит начать именно с этих событий. Провалившись дальше мы можем определить:
- Какие хосты атакуют?
- Какой хост атакуют?
- Из какой страны идет атака?
Если же атака идет из внешней сети, то может быть все эти логи создает всего один атакующий узел (скорее всего это какой-то бот), причем из какого-нибудь Сингапура. В этом случае мы можем добавить этот хост (либо вообще всю сеть Сингапура) в блок-лист, чтобы он блокировался на уровне firewall-а и не доходил до обработки трафика IPS-ом.
Также мы можем заметить, что сигнатура отлавливает атаки для linux-дистрибутивов, при этом возможно атакуется windows-хост. В этом случае будет также логично отключить linux-сигнатуры конкретно для этого хоста.
Как видите, процесс напоминает некое расследование. После подобной постоянной оптимизации существенно снизится нагрузка на шлюз, т.к.:
- Часть атакующих хостов будет блокироваться еще на уровне firewall-а;
- Будут отключены ненужные сигнатуры, которые расходуют ресурсы.
Более того, всю эту процедуру расследования и добавления хостов в блок-лист можно автоматизировать! В R80.10 появился полноценный API, который позволяет интегрироваться со сторонними решениями. Я уже писал статью на хабре о самом API — Check Point R80.10 API. Управление через CLI, скрипты и не только.
Также, мой коллега Глеб Ряскин публиковал подробную инструкцию по интеграции Check Point и Splunk — Check Point API + Splunk. Автоматизация защиты от сетевых атак.
Там не только теоретическая часть, но и практическая, с примером атаки и автоматическим добавлением хоста в блок-лист. Не ленитесь, посмотрите.
На этом я предлагаю закончить нашу теоретическую часть. В следующем уроке нас ждет большая лабораторная работа.
Unified
Enable IPS on any Check Point security gateway reducing Total Cost of Ownership
Дополнительные ресурсы
IPS Detects and Prevents:
- Specific known exploits
- Vulnerabilities, including both known and unknown exploit tools
- Protocol misuse which may indicate potential threats
- Tunneling attempts that may indicate data leakage
- Outbound malware communications
Полный контроль и комплексная отчетность
Обеспечьте непревзойденный уровень визуализации для обнаружения и предотвращения угроз. IPS Check Point легко интегрируется со SmartEvent, что позволяет сотрудникам центра обеспечения безопасности (Security Operations Center) оперативно реагировать на события с наивысшим приоритетом, экономя свое время.
Загрузки
Why should Intrusion Prevention Systems be used?
IPS technologies can detect or prevent network security attacks such as brute force attacks, Denial of Service (DoS) attacks and vulnerability exploits. A vulnerability is a weakness in a software system and an exploit is an attack that leverages that vulnerability to gain control of a system. When an exploit is announced, there is often a window of opportunity for attackers to exploit that vulnerability before the security patch is applied. An Intrusion Prevention System can be used in these cases to quickly block these attacks.
Because IPS technologies watch packet flows, they can also be used to enforce the use of secure protocols and deny the use of insecure protocols such as earlier versions of SSL or protocols using weak ciphers.
Ссылки
Обратная связь
ОБЕСПЕЧЬТЕ ВСЕ ™ ©1994- 2021 Check Point Software Technologies Ltd. Все права защищены.
Сведения об авторском праве | Конфиденциальность
Intrusion Prevention Systems detect or prevent attempts to exploit weaknesses in vulnerable systems or applications, protecting you in the race to exploit the latest breaking threat. Check Point IPS protections in our Next Generation Firewall are updated automatically. Whether the vulnerability was released years ago, or a few minutes ago, your organization is protected.
Краткая история развития IPS
Хотелось бы начать с некоторых исторических особенностей. На самом деле IPS является частным случаем IDS (Intrusion Detection System — Система обнаружения вторжений или СОВ, как ее кратко называют в России).
Идея о создании IDS появилась после выхода статьи “Computer Security Threat Monitoring and Surveillance” Джеймса Андерсона, аж в 1980 году! Довольно занятная статья и самое главное актуальная по сей день.
Спустя 6 лет, в 1986 году Дороти Деннинг и Питер Нейман опубликовали первую теоретическаю модель IDS, которая наверно до сих пор является основой для современных систем. Далее было довольно много различных разработок, но все они в основном сводились к использованию трех методов обнаружения вторжений:
- Сигнатурный анализ;
- Эвристический анализ;
- Обнаружение аномалий.
Позже была основана компания Sourcefire (в 2001 году) и проект Snort продолжил свое стремительное развитие уже в рамках компании Sourcefire и стал фактически стандартом среди IDS решений. Snort имеет открытый исходный код, чем и пользуется большинство современных производителей ИБ решений (особенно отечественные компании).
В 2003 г. компания Gartner констатировала неэффективность IDS и необходимость перехода на IPS системы (т.е. сменить детект на превент). После этого разработчики IDS стали оснащать свои решения режимом IPS. Snort естественно может работать как в IDS, так и в IPS режиме (т.е. на предотвращение).
Безусловно стоит также отметить бурный рост еще одного проекта с открытым исходным кодом — Suricata. Основали этот проект выходцы из Snort-а. Первый бета релиз был в 2009 году. За разработку отвечает компания Open Information Security Foundation (OISF). На данный момент Suricata является очень популярным решением (хоть и уступает пока еще Snort-у по популярности). На самом деле их довольно часто используют совместно.
В 2013 году Sourcefire была поглощена компанией Cisco. При этом Snort продолжает оставаться проектом с открытым исходным кодом, а его коммерческая версия продается под брендом Cisco FirePower. С вашего позволения мы не будем говорить об отличиях свободной и проприетарной версии. Интересный момент. Еще в 2005 году Check Point пытались купить SourceFire за 225 млн $, однако правительство США не одобрили эту сделку. И как я сказал ранее, Cisco купили SourceFire в 2013 году аж за 2,7 млрд $. Неплохое подорожание за 8 лет) более чем в 12 раз.
Естественно я перечислил только малую часть решений. Параллельно развивалось огромное количество коммерческих проприетарных решений (Check Point один из них). Чаще всего IPS входил в состав UTM или NGFW решения, реже в качестве отдельно стоящей “железки” (Cisco IPS — яркий пример).
Своевременные обновления IPS
Защита в реальном времени: IPS постоянно обновляется новыми средствами защиты от возникающих угроз. Многие из средств защиты IPS являются упреждающими, обеспечивая защиту до обнаружения уязвимостей или даже создания эксплойтов.
Охват уязвимостей Microsoft: Check Point занимает первое место по охвату угроз Microsoft, включая защиту с упреждающим действием от возникающих уязвимостей и эксплойтов.
What's the difference between IDS and IPS?
Early implementations of the technology were deployed in detect mode on dedicated security appliances. As the technology has matured and moved into integrated Next Generation Firewall or UTM devices, the default action is set to prevent the malicious traffic.
In some cases, the decision to detect and accept or prevent the traffic is based upon confidence in the specific IPS protection. When there is lower confidence in an IPS protection, then there is a higher likelihood of false positives. A false positive is when the IDS identifies an activity as an attack but the activity is acceptable behavior. For this reason, many IPS technologies also have the ability to capture packet sequences from the attack event. These can then be analyzed to determine if there was an actual threat and to further improve the IPS protection.
Три года назад мы публиковали статью “Online инструменты для простейшего Pentest-а”. Там мы рассказали про доступные и быстрые способы проверки защиты вашего периметра сети с помощью таких инструментов как Check Point CheckMe, Fortinet Test Your Metal и т.д. Но иногда требуется более серьезный тест, когда хочется “пошуметь” уже внутри сети (и желательно безопасно для инфраструктуры). Для этой цели может быть весьма полезным такой бесплатный инструмент как Infection Monkey. Для примера, мы решили просканировать сеть через шлюз Check Point и посмотреть, что увидит IPS. Хотя ничто не мешает вам провести аналогичный опыт и с другими решениями, чтобы проверить, как отрабатывает ваша IPS система или NGFW. Результаты под катом.
Virtual Patching
Patching is an incomplete security measure, which can leave your network open for attack. By taking a more comprehensive approach, which combines robust IPS functionality with a concerted patching strategy, network administrators can better equip themselves to handle ‘Patch Tuesdays’ and secure the network between upgrades and patches.
Надежность
IPS Check Point обеспечивает тысячи сигнатурных и поведенческих средств защиты с упреждающим действием
Схема тестирования
Схема весьма простая. Виртуалка с Infection Monkey находится в выделенном сегменте. С нее мы сканируем сегмент локальной сети, через шлюз Check Point:
Efficient
Our acceleration technologies let you safely enable IPS. A low false positive rate saves your staff valuable time
Читайте также: