Некоторые недостатки систем IPS

Некоторые недостатки систем IPS. Сегодня, аббревиатуру IPS можно увидеть в заголовках многих популярных изданий, однако приверженцы IDS, в частности представители компании Internet Security Systems ISS, подвергают сомнению прогнозы, согласно которым системы IDS в ближайшее время уйдут в небытие, а клиентам понадобятся еще более эффективные средства сетевой защиты.

Наличие замка на входной двери вовсе не означает отказ от охранной сигнализации заметил технический директор ISS Крис Клаус. В то же время нельзя отрицать, что производители систем IPS оказывают давление на рынок IDS, с тем чтобы в выгодном свете представить свои собственные разработки. Компания ISS в числе многих переходит сейчас от подхода, предусматривающего совершенствование ответных действий при обнаружении атак, к разработке технологий, реализующих превентивные меры защиты.

В частности, такая стратегия может опираться на внедрение управляющих служб, собирающих информацию о серверах и настольных компьютерах, анализирующих журналы операционных систем и прочие сведения, позволяющие оценить текущее положение дел. Разработчикам IPS сегодня приходится преодолевать скептический настрой клиентов, порождаемый незавершенными проектами в области обеспечения безопасности информационных систем и невыполненными обещаниями предоставить волшебную палочку, с помощью которой можно будет защититься от чего угодно пояснил начальник службы безопасности компании Radianz Ллойд Хейшн. Трудности, обусловленные необходимостью глубокого изучения сетевого трафика и постоянного мониторинга в онлайновом режиме, говорят о том, что семена IPS нельзя бросать в неподготовленную почву.

Подобные решения должны стать еще одним элементом сетевых инфраструктур, которые в любой момент могут оказаться под угрозой перегрузки.

Рост затрат на распознавание вторжений неизбежен. Проведенный META Group анализ ближайших инвестиционных планов компаний из числа Global 2000 показал наличие высокой заинтересованности в закупках сетевых и хостовых систем распознавания вторжений.

Во многих организациях в долгосрочных планах числятся также консоли централизованного управления информацией о безопасности. Как отмечают в META Group, для директоров по безопасности не стал неожиданностью переход производителей от выпуска систем распознавания вторжений к системам их предотвращения. По прогнозу Meta Group, разница между двумя этими весьма родственными технологиями исчезнет в течение двух лет. Ведь количество дыр обнаруженных в программном обеспечении, с 1998 года выросло более чем в 28 раз ГодКоличество дыр Разработчики IPS уже перешли рубикон, однако использование таких решений по-прежнему сопряжено с риском подчеркнул Хейшн. их сложность и сама природа IPS-решений таят в себе потенциальную опасность.

Внося в сетевую среду еще один источник ошибок устройство, которому уже не отводится пассивная роль, вы тем самым снижаете общую устойчивость всей среды. У разработчиков систем IPS практически нет времени на устранение недостатков и вывод своих продуктов на достаточно зрелый уровень.

Но то же самое можно сказать и об авторах проектов IDS. Сложность заключается в том, что в данный момент отрасль не предлагает интегрированных корпоративных решений пояснил Хейшн. Есть отдельные наращиваемые модули, предназначенные для решения частных задач. Каждый из них стоит денег. Естественно, это порождает вопросы. Мы не сможем пройти целиком долгий и тернистый путь с неполноценными продуктами. Системы IDS оказались в еще более сложном положении.

Как заметил Пескаторе, решения IPS преподносятся сегодня по сути как лекарство от всех болезней. Производители, ориентированные на IDS, зачастую принимают эти маркетинговые ходы за чистую монету, и в результате им не удается преодолеть трудности, связанные с IDS. Понятно, что количество ложных срабатываний нужно уменьшать, но не за счет установке барьеров на пути прохождения легитимного трафика. Нужен тщательный подбор алгоритмов, сигнатур, устойчивых средств анализа протоколов в сочетании с методологиями, зависящими от окружающей обстановки, и корреляции всех этих механизмов с другими технологиями, обеспечивающими управление сетями.

Но подобные комбинации, что интересно, чаще всего встречаются как раз в системах IPS. На наш взгляд, к концу следующего года, технология IPS окажет реальное воздействие на рынок межсетевых экранов и систем IDS заметил Пескаторе. К этому моменту сюда устремится Cisco, возможно, CheckPoint, а вступление в борьбу компаний типа Nortel, F5 Networks, возможно, даже Nokia будет ознаменовано выпуском высококлассных многогигабитных продуктов, предназначенных для телекоммуникационных операторов. В свою очередь, поставщики систем IDS должны внимательно следить за восхождением IPS, интегрируя свои предложения в схемы межсетевых экранов.

Дни тех, кто не примет концепцию IPS, окажутся сочтены. Хейшн также рассматривает межсетевые экраны, системы IDS и IPS в качестве важнейших компонентов реализации стратегии информационной безопасности. Полный отказ от концепции IDS при отсутствии очень хорошего межсетевого экрана порочная идея, считает он. Однако преимущества IPS говорят о том, что роль IDS в корпоративной среде изменится.

Допустим, компании выходят в свет с IPS, но будет ли это заменой межсетевому экрану задается вопросом Хейшн. Мой ответ категорически отрицательный. Межсетевые экраны проектируются, создаются и настраиваются, с тем чтобы обеспечить фильтрацию, экранирование и контроль доступа, а IPS и IDS нет. Сегодня мы предлагаем определенный уровень контроля над действиями IPS. Клиенты могут сами блокировать трафик, а наши партнеры разрабатывают интерфейсы для взаимодействия с устройствами семейства BIG-IP. На базе подобных решений вполне можно реализовать контроль над функционированием IPS отметил директор F5 Networks по управлению продуктами Эрик Гиза. После покупки в начале текущего года компании Okena большую активность в отношении IPS стала проявлять и корпорация Cisco Systems.

В состав Cisco Systems также вошла компания Psionic Software сделка по ее приобретению была завершена в декабре 2002 года, что было расценено аналитиками как намерение в первую очередь ускорить создание новых решений по обработке ложных срабатываний. Частично это подтвердилось недавним анонсом IDS-модулей для коммутаторов Catalyst в частности, для устройств серии Catalyst 6500. Наши клиенты не раз заявляли, что понимают всю важность проведения мероприятий по предотвращению вторжений.

Однако в большинстве своем они по-прежнему не доверяют технологии, которая работает автономно, то есть независимо от человека, и сама принимает решения в отношении сетевого трафика заявил менеджер Cisco Джон Макфарлэнд.

Преимущества IPS очевидны, но для доказательства их силы в противодействии угрозам безопасности, возникающим в реальном мире, нужны объективные испытания. Уже сегодня технологии IPS реализуются на практике в устройствах и решениях, действующих автономно и способных самостоятельно принимать решения.

Однако по тому, что делают и как ведут себя сейчас поставщики систем IDS а ведут они себя совершенно иначе по сравнению с тем, что мы видели раньше, можно сделать вывод будущее IPS лежит в области не изолированных, а интегрированных решений, будь то сочетание с IDS, межсетевыми экранами или какими-то иными компонентами сетевой инфраструктуры. От систем IPS сегодня требуется присутствие в сети, умение принимать решения и воздействовать на прохождение пакетов все эти функции сетевого устройства подчеркнул Макфарлэнд.

IPS не одноразовый трюк. Это решение должно действительно быть всеобъемлющим. IPS в России. В России продукты IPS появились недавно и сейчас у всех поставщиков их продано по нескольку экземпляров. В основном это продажи IPS в составе других продуктов межсетевых экранов или IDS. Так, компания NetWell, объявившая прошедшим летом о начале поставок устройств NetScreen, продает их в составе корпоративной сети и уже имеет шесть проектов с их использованием.

По оценкам Дмитрия Коваля, генерального директора NetWell, затраты на устройства IPSIDS составляют не более 10 общей стоимости проекта. Для предустановленных систем IPS цена одного устройства находится в диапазоне от 7 до 10 тыс. долл. Программное решение CheckPoint Applications Intelligence поставляется в составе межсетевого экрана и отдельно не продается только через модификацию старых версий. Впрочем, по словам Алексея Лукацкого, заместителя директора по маркетингу компании Информзащита, пока тяжело убедить российских пользователей на покупку устройств защиты, отличных от уже известных продуктов антивирусов и межсетевых экранов.

Российские компании уже несколько лет внедряют не только межсетевые экраны и антивирусное программное обеспечение, но и системы обнаружения вторжений, системы анализа содержимого Web-трафика и электронной почты отметил Николай Петров из компании Эрнст энд Янг. Однако, как показывает практика, очень часто предложенные решения не соответствуют потребностям клиентов в полной мере, они или плохо стыкуются с тем, что уже есть, или плохо расширяются для дополнительных нужд в дальнейшем, или не учитывают специфики бизнеса клиента.

Возможно, недоверие к IPS в России связано со сложностью новой технологии. Так по словам Лукацкого у потенциальных клиентов еще остаются сомнения в жизнеспособности технологии IPS. Например, Виталий Чивиков, разработчик программных средств защиты информации концерна Системпром, считает, что средства защиты, такие как IPS, при их неправильной настройке легко можно использовать для реализации DoS-атаки.

В общем, пока отношение к IPS, как и к любой новой технологии, осторожное, поскольку еще не понятно, чем они отличаются от межсетевых экранов и классических IDS, а также насколько они надежны.