Co je systém prevence narušení?

Systém prevence narušení (IPS) monitoruje datové pakety sítě pro podezřelou aktivitu a snaží se podniknout kroky pomocí konkrétních zásad. Působí poněkud jako systém detekce narušení, který zahrnuje firewall, aby se zabránilo útokům. Když je detekováno něco podezřelého, odešle upozornění na správce sítě nebo systémů, což umožňuje správci vybrat akci, kterou se má podniknout, když událost dojde. Systémy prevence narušení mohou sledovat celou síť, bezdrátové síťové protokoly, chování sítě a provoz jednoho počítače. Každý IPS používá specifické metody detekce k analýze rizik. Někteří mohou detekovat šíření malwaru přes síť, kopírování velkých souborů mezi dvěma systémy a použití podezřelých činností, jako je skenování portů. Poté, co IPS tento problém porovná s jeho bezpečnostními pravidly, přihlásí každou událost a dokumentuje událostfrekvence. Pokud správce sítě nakonfiguroval IPS pro provádění konkrétní akce založené na incidentu, systém prevence narušení pojme přiřazenou akci. Základní upozornění je zasláno správci, aby mohl v případě potřeby přiměřeně reagovat nebo zobrazit další informace o IPS.

Existují čtyři obecné typy systémů prevence narušení, včetně síťového, bezdrátového, analýzy chování v síti a hostitele. Síťová IPS analyzuje různé síťové protokoly a běžně se používá na serverech vzdáleného přístupu, virtuálních soukromých síťových serverech a směrovačích. Bezdrátové IPS sleduje podezřelé činnosti v bezdrátových sítích a také hledá neoprávněné bezdrátové sítě v oblasti. Analýza chování v síti hledá hrozby, které by mohly snížit síť nebo šířit malware a běžně se používají se soukromými sítěmi, které se připojují k internetu. Hostitel-Založené IPS pracuje na jednom systému a hledá podivné procesy aplikace, neobvyklý síťový provoz pro hostitele, změny úpravy systému a konfigurace.

Existují tři metody detekce, které může používat systém prevence narušení, a mnoho systémů používá kombinaci všech tří. Detekce založená na podpisech funguje dobře pro detekci známých hrozeb porovnáním události s již zdokumentovaným podpisem, aby se zjistilo, zda došlo k porušení bezpečnosti. Detekce založená na anomálii hledá aktivitu, která je abnormální ve srovnání s normálními událostmi, které se vyskytují v systému nebo síti a je zvláště užitečné pro identifikaci neznámých hrozeb. Analýza Stateful protokolu hledá činnost, která je v rozporu s tím, jak se obvykle používá konkrétní protokol.