Liczba luk w zabezpieczeniach, a co za tym idzie ataków na sieci wewnętrzne, rośnie z każdym rokiem. W celu zapewnienia sieci firmowej skutecznej ochrony konieczne jest wdrożenie zaawansowanych technologii, które zabezpieczą sieć na różnych poziomach. Jedną z nich jest IDS / IPS.
Niestety ochrona sieci wewnętrznej robi się coraz trudniejsze, a firmy coraz gorzej radzą sobie obroną przed atakami z zewnątrz. Z raportu Microsoft wynika, że w 96,88 % przypadków infekcji ransomware hakerzy potrzebują cztery godziny, aby pomyślnie przeniknąć do celu. Najszybsze złośliwe oprogramowanie może przejąć system firmy w mniej niż 45 minut. [1] Wg szacunków ekspertów każda z większych polskich firm odpiera od kilkudziesięciu do kilkuset ataków tygodniowo. Największym problemem są trojany (Trickbot), programy do wyłudzania danych logowania (Qbot i Dridex) czy oprogramowanie ransomware. W tym ostatnim hakerzy zazwyczaje szyfrują część danych, blokują system przedsiębiorstwa, a następnie żądają okupu za deszyfrację.
Z roku na rok gwałtownie wzrasta też liczba zgłoszonych luk w zabezpieczeniach systemu operacyjnego. Raport Microsoft CVE pokazuje, że w porównaniu z latami poprzednimi liczba luk w zabezpieczeniach zgłoszonych w 2020 r. wzrosła o ponad 40% rok do roku, a liczba i waga luk w zabezpieczeniach osiągnęły rekordowy poziom.
Części tych problemów można by było uniknąć, gdyby firmy skupiły się na tworzeniu wielopoziomowych i zaawansowanych zabezpieczeń sieci firmowej. Obecnie podstawowe zapory jak NGFW już nie wystarczą. Konieczne jest wykorzystywanie technologii pokrywających różne warstwy sieci. Do takich należy rozwiązanie IDS/IPS i funkcja deszyfracji danych.
Czytaj więcej: Audyt bezpieczeństwa infrastruktury sprzętowej IT
IDS (Intrusion Detection System) i IPS (Intrusion Prevention System) to sprzętowe lub wirtualne oprogramowania, które wykorzystywane są do wykrywania i zapobiegania włamaniom do sieci.
Zadaniem IDS jest wykrywanie intruzów, czyli prób dostępu do sieci. Monitoruje i analizuje ruch w sieci pod kątem sygnatur pasujących do znanych ataków. W przypadku wykrycia zagrożenia ostrzega administratora.
System zapobiegania włamaniom (IPS) sprzęgnięty jest zazwyczaj z zaporą sieciową i zlokalizowany między światem zewnętrznym a siecią wewnętrzną. IPS prewencyjnie, z wyprzedzeniem blokuje ruch, jeśli uzna, że dany pakiet stanowi zagrożenie dla sieci wewnętrznej.
Aby skutecznie bronić się przed atakami i wykrywać wszystkie zagrożenia, konieczny jest nieograniczony wgląd do wszystkich plików. Niestety obecnie większość (ponad 90%) ruchu sieciowego jest szyfrowana. Szyfrowanie uniemożliwia zaporze i innym systemom antywirusowym przejrzenie zawartości pliku. A to znaczy, że nie mogą sprawdzić, czy znajduje się w nim niebezpieczna zawartość (wirus).
Wg danych niemal 68% złośliwego oprogramowania ukrytego jest właśnie w ruchu internetowym SSL/TLS. Aby wykryć złośliwe oprogramowanie, należy najpierw dokonać deszyfracji ruchu SSL/TLS, a to zazwyczaj zabiera dużo mocy obliczeniowej zapór sieciowych i odbija się na wydajności sieci.
Z pomocą przychodzi funkcja deszyfracji. W ramach tej opcji oprogramowanie IDS/IPS rozszyfrowuje dane, analizuje je, a następnie ponownie je zaszyfrowuje. W ten sposób jest w stanie wyłapać niebezpieczną zawartość. Funkcja deszyfracji SSL TLS wykonywana z poziomu oprogramowania IPS jest znacznie mniej obciążająca dla systemu niż w przypadku gdybyśmy to robi na poziomie firewalla >>.
Czytaj więcej: Audyt bezpieczeństwa aplikacji – testy penetracyjne
IPS zlokalizowane jest bezpośrednio za zaporą sieciową i stanowi uzupełniającą warstwę bezpieczeństwa, która filtruje niebezpieczne treści. Sposób wykrywania zagrożeń zależy od rodzaju oprogramowania i jego zaawansowania. W rozwiązaniach IPS najczęściej możemy spotkać się z dwiema metodami:
Monitoring oparty na sygnaturach. Oprogramowanie IPS wyposażone jest w zaawansowaną bazę sygnatur, wg której dokonuje analizy ruchu sieciowego. Po tym, jak dany pakiet znajdzie się w systemie, IPS zaczyna szukać w nim ciągów danych charakterystycznych dla konkretnych zagrożeń sieciowych. W sytuacji, gdy pakiet trafi na regułę blokującą, jest zatrzymywany przez programowanie.
Monitoring oparty na anomaliach. W tym rozwiązaniu oprogramowanie definiuje zagrożenie na podstawie niepożądanych zdarzeń, które występują w danej sieci. Zazwyczaj ustalone są pewne reguły, których przekroczenie staje się sygnałem alarmowym dla systemu, że w sieci dzieje się coś podejrzanego np. w ostatniej godzinie wzrosła liczba wejść na stronę lub nieudanych logowań użytkowników.
W standardowych systemach IPS bardzo często wykrywanie zagrożeń opiera na sygnaturach. To rozwiązanie doskonale sprawdza się w przypadku gdy znamy potencjalne zagrożenia a sygnatury znajdują się w bazie danych. Zdecydowanie inaczej sprawa przedstawia się w przypadku ataków zero-day. Wówczas sygnatury nie są w stanie szybko zidentyfikować nadchodzącego zagrożenia. Z tego względu zaawansowanie rozwiązania IPS/IDS coraz częściej do wykrywania zagrożeń wykorzystują technologię uczenia maszynowego
W przypadku pojawienia się zagrożenia IPS może wykonać następujące działania:
Chcesz wiedzieć więcej o zabezpieczeniu sieci? Przeczytaj również: Kontrola dostępu do sieci (Network Access Control) – jak chroni sieć firmową?
W systemie IPS/IDS algorytmy działają na wielu płaszczyznach, co znacznie poprawia skuteczność działania. Na podstawie zróżnicowanych danych (analizy behawioralnej ruchu, sygnatur zagrożeń lub wskazywania nietypowych aktywności i korelacji) są w stanie przewidzieć potencjalne zagrożenie i skutecznie zapobiec atakowi na sieć wewnętrzną. Za pomocą analizy korelacji są w stanie określić prawdopodobieństwo wystąpienia danego zagrożenia i jego natężenie.
Często Next Generation Firewall i IDS/IPS są ze sobą mylone. Tymczasem funkcje i zakres zadań jakie mają do wykonania Next Generation Firewall różni się znacząco od rozwiązania IDS/IPS.
W sferze zadań sieciowego firewalla (zapory ogniowej) jest blokowanie i filtrowanie ruchu. Funkcjami IDS/IPS jest prewencja, wykrywanie zagrożeń i ostrzeganie administratora systemu przed potencjalnymi atakami.
Rozwiązanie IDS/IPS przydaje się również wówczas gdy zależy ci na zachowaniu określonej wydajności i przepustowości sieci.
Przeczytaj również: Web Application Firewall: jak chroni aplikacje webowe?
Deszyfracji ruchu SSL/TLS sprzęgnięta z rozwiązaniami IDS/IPS pozwala na pełny monitoring ruchu i pakietów przesyłanych w sieci. W ten sposób sprawdzony zostaje każdy plik a ryzyko zagrożenia zmniejszone jest do minimum.
Możliwość przesyłania deszyfrowanego ruchu do innych systemów bezpieczeństwa
Deszyfrowane w ten sposób dane mogą zostać przesłane do innych systemów realizowanych specjalizujący systemów bezpieczeństwa. W ten sposób plik może zostać zweryfikowany na wielu płaszczyznach, co poprawia współczynnik wykrywalności.
Podsumowując korzystanie z IDS/IPS znacząco wpływa na poziom bezpieczeństwo w sieci wewnętrznej i dostarcza wielu innych benefitów.
Zaawansowany zestaw silników zabezpieczeń Hillstone NIPS pozwala wykrywać i zapobiegać zagrożeniom sieciowym. Rozwiązanie to pomaga w zabezpieczeniu sieci przez cały cykl życia zagrożenia, chroniąc na każdym etapie ataku. NIPS oferuje również rozbudowane i szczegółowe raporty, które ułatwiają podejmowanie właściwych decyzji. Atutem jest ujednolicone, centrala zarządzaniem, które pozwala na komfortowy dostęp do wszystkich danych i łatwe zarządzanie bezpieczeństwem.
Tylko szybkie i skuteczne wykrywanie zagrożeń i kompleksowe podejście zmniejszy ryzyko ataku. Z tego powodu silniki Hillstone NIPS zapewniają całościową ochronę sieci organizacji: od warstwy 2 do warstwy 7.
Jak to wygląda w praktyce?
Prócz tradycyjnych silników wykrywania, Hillstone IPS oferuje inteligentne rozwiązania do zapobiegania włamaniom oparte na AI i uczeniu maszynowym. W skład tego rozwiązania wchodzi wiele zaawansowanych technologii.
Rozwiązania Hillstone Networks zapewniają utrzymanie maksymalnej wydajności warstwy aplikacji, przy zachowaniu wysokiego bezpieczeństwa sieci.
Zaletami rozwiązań Hillstone są:
Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Wybierzemy najlepszą opcję pod względem jakości, ceny i wymagań funkcjonalnych.
Przypisy: