Co je systém prevence narušení?

Systém prevence narušení (IPS) monitoruje datové pakety sítě pro podezřelou aktivitu a snaží se jednat pomocí specifických politik. Funguje trochu jako systém detekce narušení, který obsahuje bránu firewall, aby se zabránilo útokům. Pokud je detekováno něco podezřelého, odešle výstrahu správci sítě nebo systému a umožní správci vybrat akci, která má být provedena, když dojde k události. Systémy prevence narušení mohou monitorovat celou síť, protokoly bezdrátové sítě, chování sítě a provoz jednoho počítače. Každá IPS používá specifické metody detekce k analýze rizik.

V závislosti na modelu IPS a jeho funkcích může systém prevence narušení detekovat různá narušení zabezpečení. Někteří mohou detekovat šíření malwaru v síti, kopírování velkých souborů mezi dvěma systémy a použití podezřelých činností, jako je skenování portů. Poté, co IPS porovná problém s jeho bezpečnostními pravidly, zaznamená každou událost a dokumentuje její frekvenci. Pokud správce sítě nakonfiguroval IPS pro provádění konkrétní akce na základě incidentu, systém prevence narušení poté provede přiřazenou akci. Správci je zasláno základní upozornění, aby mohl odpovídajícím způsobem reagovat nebo si v případě potřeby zobrazit další informace o IPS.

Existují čtyři obecné typy systémů prevence narušení, včetně síťové, bezdrátové, analýzy chování v síti a založené na hostiteli. Síťová IPS analyzuje různé síťové protokoly a běžně se používá na serverech vzdáleného přístupu, virtuálních soukromých síťových serverech a směrovačích. Bezdrátový IPS sleduje podezřelé činnosti v bezdrátových sítích a také hledá neautorizované bezdrátové sítě v oblasti. Analýza chování v síti hledá hrozby, které by mohly odstranit síť nebo rozšířit malware, a běžně se používá u soukromých sítí, které se připojují k internetu. Hostitelská IPS pracuje na jediném systému a hledá podivné aplikační procesy, neobvyklý síťový přenos k hostiteli, modifikace systému souborů a změny konfigurace.

Existují tři metody detekce, které může systém prevence narušení použít, a mnoho systémů používá kombinaci všech tří. Detekce založená na podpisu funguje dobře pro detekci známých hrozeb porovnáním události s již dokumentovaným podpisem, aby se určilo, zda došlo k narušení zabezpečení. Detekce založená na anomálií hledá aktivitu, která je neobvyklá ve srovnání s normálními událostmi, ke kterým dochází v systému nebo síti, a je zvláště užitečná pro identifikaci neznámých hrozeb. Stavová analýza protokolu hledá aktivitu, která je v rozporu s normálním používáním konkrétního protokolu.