В условиях непрекращающейся компьютеризации сетевые технологии развиваются и проникают практически во все сферы современного бизнеса. Вместе с технологиями растут возможности взлома, проникновения, выведения серверов и сервисов из строя и прочих видов деструктивной активности как снаружи корпоративной сети, так и изнутри ее. Одной защиты с помощью межсетевого экрана явно недостаточно, и поэтому необходимо применять системы обнаружения и предотвращения вторжений. Для рационального использования финансов на обеспечение сетевой безопасности необходимо правильно рассчитать технические требования к системам IDS/IPS.
Для начала необходимо правильно выбрать место установки в текущей архитектуре корпоративной сети. Ошибка на данном этапе может грозить:
- отсутствием возможности анализа трафика и предотвращения атак;
- дубликацией анализируемых пакетов;
- некорректной обработкой трафика;
- нерациональным распределением сенсоров в корпоративной сети;
- чрезмерными финансовыми затратами.
Более детально описано в статье "Архитектура".
Затем важно определить пропускную способность сетевого сенсора для каждого участка сети. Поскольку производительность является одним из главных технических и ценообразующих факторов для систем IDS/IPS, неверный расчет либо его отсутствие чреваты:
- установкой дополнительного «узкого места» в сети;
- отсутствием возможности анализа трафика и предотвращения атак;
- нерациональным использованием инвестиций в сетевую безопасность.
Более детально описано в статье "Определение производительности".
После проведения расчетов может возникнуть вопрос, какое использовать решение: коммерческое либо с открытым исходным кодом.
Недостатки коммерческих продуктов:
- высокая стоимость;
- невысокая гибкость при адаптации под нужды заказчика;
- отсутствие гибкости при необходимости смены поставщика решения: проблемы миграции.
Недостатки продуктов на базе открытого ПО:
- необходимость содержания своих разработчиков, квалифицированных инженеров, либо принятие рисков их отсутствия;
- необходимость приобретения аппаратных средств;
- гарантии, ответственность, SLA разграничиваются внутри компании либо отсутствуют.
Как коммерческие, так и Open Source решения также имеют свои преимущества, которые описаны в работе.
Более детально описано в статье "Выбор решения".
Немаловажным компонентом инфраструктуры систем обнаружения и предотвращения вторжений является система управления. От нее зависит скорость и качество выполнения многих задач информационной безопасности, связанных с человеческим фактором. Выделены условные модули системы управления, определены минимальные требования к наличию компонентов и их функционалу полноценно системы управления IDS/IPS.
Более детально описано в статье "Система управления".
Если информации о принципах работы систем обнаружения и предотвращения вторжений, алгоритмах обработки трафика и реакции на атаки достаточно много, то особенности проектирования и внедрения инфраструктуры IDS/IPS были выведены в ходе работы самостоятельно. Исследование проводилось в течение трех лет на инфраструктуре с использованием 20 сетевых сенсоров систем обнаружения вторжений двух разных производителей.
Комментариев нет:
Отправить комментарий