Смогут ли системы предотвращения несанкционированных проникновений в корпоративные ИТ-системы выполнить возложенную на них превентивную миссию и обеспечить заказчикам требуемый уровень безопасности?

Этим вопросом озабочены не только заказчики IPS (Intrusion Prevention Systems, IPS), уже существующие и потенциальные, но и производители систем обнаружения (!) проникновений (Intrusion Detection Systems, IDS), пытающиеся понять, каким образом справиться с технологией, которая угрожает основам их бизнеса. Превосходство IPS по сравнению с IDS выделяется особенно ярко на фоне растущих требований клиентов к созданию более эффективных средств предотвращения несанкционированных проникновений в их сети. Но поскольку технологии становятся все сложнее, корпоративные клиенты чаще испытывают трудности при выявлении различий между «истинными» IPS и их упрощенными версиями, а также при интеграции IPS с различными элементами сетевых инфраструктур.

Роль работающих систем предотвращения вторжений трудно переоценить — многие специалисты по ИТ сегодня продолжают вынашивать идею профилактики атак, которые способны нанести компаниям очень серьезный ущерб. Эксперты в области безопасности предсказывают, что по мере совершенствования технологий IPS произойдет слияние систем IDS и межсетевых экранов, число механизмов IPS заметно увеличится, а производители средств анализа трафика и коммутирующего оборудования (в частности, Cisco Systems, F5 Networks и Nortel Networks) поведут борьбу за обладание короной IPS.

Профилактика получает одобрение

Некоторые аналитики, в том числе и специалисты компании Gartner, советуют своим клиентам воздержаться пока от крупных инвестиций в IDS и внимательно изучить все преимущества технологий IPS. «Организациям, уже вложившим в IDS серьезные средства и получившим якобы позитивные результаты, рекомендуем обратить внимание на производителей средств управления системами безопасности, в частности на компании ArcSight и NetForensics, — отметил вице-президент Gartner Джон Пескаторе. — Мы полагаем, что концепция IDS себя исчерпала. Она не представляет сегодня практически никакой ценности для корпоративных пользователей. Чтобы выжить, нужно действовать быстрее, буквально со скоростью прохождения информации по кабелю, и необходимо решать вопросы ложных срабатываний».

Ложные срабатывания — один из самых серьезных недостатков IDS — представляют собой весьма обременительную ношу при нехватке опыта обеспечения внутренней безопасности, а постоянно сокращающиеся бюджеты заставляют вновь и вновь поднимать вопросы, связанные с приоритетами обработки соответствующих событий. Технологии IPS помогают избежать получения фальсифицированных позитивных результатов благодаря различным механизмам. Среди них, в частности, анализ сигнатур, изменяющихся в ходе проверки сессии, идентификация сетевых протоколов и пакетов с целью проверки на предмет обнаружения в них внезапных изменений шаблонов трафика (как это происходит при атаке, рассчитанной на отказ в обслуживании) или таких изменений, которые не предусмотрены установленными правилами. «Иногда люди пытаются бороться с каждым отдельно взятым уязвимым местом, хотя это вовсе не является необходимостью, особенно сегодня, когда штат организаций заметно сократился, — отмечает старший сетевой инженер компании Tower Records П. Дж. Кастро. — Мы должны сконцентрироваться на том, что может нанести реальный ущерб».

Усилия производителей средств безопасности, целью которых является успешное внедрение IPS, сводятся на нет наличием многочисленных брешей в системах безопасности и зачастую необходимостью проведения дорогостоящих процедур по устранению ущерба от вирусов. Широкое распространение вирусов в последние год-полтора стало последней каплей, переполнившей чашу терпения многих клиентов. Глобальные эпидемии Nimda, Klez, Code Red и т. д. привели руководителей компаний к мысли о том, что создание эффективной системы ИТ-самообороны станет одним из важнейших факторов обеспечения нормального функционирования организаций в будущем.

«Все эти вирусы нанесли нам немалый урон, — заметил директор информационной службы университета штата Флорида Том Данфорд. — В отдельных случаях наше учебное заведение фактически оказывалось на грани выживания. Удару подвергались не отдельные компьютеры, а целые классы, и нам пришлось потратить немало денежных средств на то, чтобы очистить машины от вирусов и ликвидировать нанесенный ущерб. Безусловно, все это отняло много времени и отрицательно сказалось на производительности труда и учебном процессе. В конечном итоге мы пришли к выводу, что добиться требуемой степени безопасности можно лишь при условии проведения необходимых профилактических мероприятий».

Сегодня к сети учебного заведения как внутри студенческого городка, так и за его пределами подключено более 10 тыс. пользователей, и Данфорду хотелось бы, чтобы система IPS обеспечивала выявление подозрительных действий в сети, их блокировку и последующее изучение с внутренней стороны межсетевого экрана. В декабре прошлого года в университете была установлена сетевая консоль UnityOne-200 компании TippingPoint Technologies, позволяющая осуществлять поиск потенциальных источников угроз. Результаты оказались обнадеживающими. Несмотря на наличие в сети множества серверов c Microsoft SQL Server, червь Slammer не смог проникнуть ни в одну из университетских систем.

Аппаратные консоли и IPS-системы TippingPoint UnityOne содержат механизм безопасной обработки сетевого трафика, в основу которого положены средства очень быстрого анализа заголовков сетевых пакетов. «Для успешного отражения атак путем блокирования подозрительных пакетов сразу после обнаружения угрозы, решения IPS просто необходимо сделать частью сетевой инфраструктуры, — подчеркнул технический директор TippingPoint Марк Виллебек-Лемер. — Задержка их срабатывания не должна превышать нескольких микросекунд. Поскольку в названиях IPS и IDS имеются две общие буквы, мы всегда вели речь о следующем поколении семейства продуктов, хотя и имели в виду действительно разные вещи. Атаки обрушиваются на нас не только по всему внешнему периметру, но и с внутренней стороны. Система IPS будет эффективной лишь в том случае, если, интегрировав ее в сетевую структуру, вы сможете отражать удары, наносимые с любого направления. IPS нельзя больше считать всего лишь точкой доступа к глобальной сети».

И у роз есть шипы

Сегодня аббревиатуру IPS можно увидеть в заголовках многих популярных изданий, однако приверженцы IDS, в частности представители компании Internet Security Systems (ISS), подвергают сомнению прогнозы, согласно которым системы IDS в ближайшем будущем уйдут в небытие, а клиентам понадобятся еще более эффективные средства сетевой защиты. «Наличие замка на входной двери вовсе не означает отказ от охранной сигнализации», — заметил технический директор ISS Крис Клаус.

В то же время нельзя отрицать того, что производители систем IPS оказывают давление на рынок IDS, с тем чтобы в более выгодном свете представить свои собственные разработки. Компания ISS в числе многих переходит сейчас от подхода, предусматривающего совершенствование ответных действий при обнаружении атак, к разработке технологий, реализующих превентивные меры защиты. В частности, такая стратегия может опираться на внедрение управляемых служб, собирающих информацию о серверах и настольных компьютерах, анализирующих журналы операционных систем и прочие сведения, позволяющие оценить текущее положение дел.

«Разработчикам IPS сегодня приходится преодолевать скептический настрой клиентов, порождаемый незавершенными проектами в области обеспечения безопасности ИТ-систем и невыполненными обещаниями предоставить ?волшебную палочку?, с помощью которой можно будет защититься от чего угодно», — пояснил начальник службы безопасности компании Radianz Ллойд Хейшн.

Трудности, обусловленные необходимостью глубокого изучения сетевого трафика и постоянного мониторинга в онлайновом режиме, говорят о том, что семена IPS нельзя бросать в неподготовленную почву.

Подобные решения должны стать еще одним элементом сетевых инфраструктур, которые в любой момент могут оказаться под угрозой перегрузки.

«Разработчики IPS уже перешли рубикон, однако использование таких решений по-прежнему сопряжено с риском, — подчеркнул Хейшн. — Их сложность и сама природа IPS-решений таят в себе потенциальную опасность. Внося в сетевую среду еще один источник ошибок (устройство, которому уже не отводится пассивная роль), вы тем самым снижаете общую устойчивость всей среды».

У разработчиков систем IPS практически нет времени на устранение недостатков и вывод своих продуктов на достаточно зрелый уровень. Но то же самое можно сказать и об авторах проектов IDS.

«Сложность заключается в том, что в настоящий момент отрасль не предлагает интегрированных корпоративных решений, — пояснил Хейшн. — Есть отдельные наращиваемые модули, предназначенные для решения частных задач. Каждый из них стоит денег. Естественно, это порождает вопросы. Мы не сможем пройти целиком долгий и тернистый путь с неполноценными продуктами».

Системы IDS оказались в еще более сложном положении. Как заметил Пескаторе, решения IPS преподносятся сегодня, по сути, как «лекарство от всех болезней». Производители, ориентированные на IDS, зачастую принимают эти маркетинговые ходы за чистую монету, и в результате им не удается преодолеть трудности, связанные с IDS. Понятно, что количество ложных срабатываний нужно уменьшать, но не за счет установки барьеров на пути прохождения легитимного трафика. Нужен тщательный подбор алгоритмов, сигнатур, устойчивых средств анализа протоколов в сочетании с методологиями, зависящими от окружающей обстановки, и корреляции всех этих механизмов с другими технологиями, обеспечивающими управление сетями. Но подобные комбинации, что интересно, чаще всего встречаются как раз в решениях IPS.

«На наш взгляд, к концу следующего года технология IPS окажет реальное воздействие на рынок межсетевых экранов и систем IDS, — заявил Пескаторе. — К этому моменту сюда устремится Cisco, возможно, CheckPoint, а вступление в борьбу компаний типа Nortel, F5 Networks, возможно, даже Nokia будет ознаменовано выпуском высококлассных ?многогигабитных? продуктов, предназначенных для телекоммуникационных операторов. В свою очередь поставщики систем IDS должны внимательно следить за восхождением систем IDS, интегрируя свои предложения в схемы межсетевых экранов. Дни тех, кто не примет концепцию IPS, окажутся сочтены».

Хейшн также рассматривает межсетевые экраны, системы IDS и IPS в качестве важнейших компонентов реализации стратегии информационной безопасности. Полный отказ от концепции IDS при отсутствии очень хорошего межсетевого экрана — порочная идея, считает он. Однако преимущества IPS говорят о том, что роль IDS в корпоративной среде изменится.

«Допустим, компании выходят в свет с IPS, но будет ли это заменой межсетевому экрану? — задается вопросом Хейшн. — Мой ответ категорически отрицательный. Межсетевые экраны проектируются, создаются и настраиваются, с тем чтобы обеспечить фильтрацию, экранирование и контроль доступа, а IPS и IDS — нет».

«Сегодня мы предлагаем определенный уровень контроля за действиями IPS. Клиенты могут сами блокировать трафик, а наши партнеры разрабатывают интерфейсы для взаимодействия с устройствами семейства BIG-IP. На базе подобных решений вполне можно реализовать контроль за функционированием IPS», — отметил директор F5 Networks по управлению продуктами Эрик Гиза.

После покупки в начале текущего года компании Okena большую активность в отношении IPS стала проявлять и корпорация Cisco Systems. В состав Cisco также вошла компания Psionic Software (сделка по ее приобретению была завершена в декабре 2002 года), что было расценено аналитиками как намерение в первую очередь ускорить создание новых решений по обработке ложных срабатываний. Частично это подтвердилось недавним анонсом IDS-модулей для коммутаторов Catalyst (в частности, для устройств серии Catalyst 6500).

«Наши клиенты не раз заявляли, что понимают всю важность проведения мероприятий по предотвращению вторжений. Однако в большинстве своем они по-прежнему не доверяют технологии, которая работает автономно, т. е. независимо от человека, и сама принимает решения в отношении сетевого трафика», — заявил менеджер Cisco Джон Макфарлэнд.

Преимущества IPS очевидны, но для доказательства их силы в противодействии угрозам безопасности, возникающим в реальном мире, нужны объективные испытания. Уже сегодня технологии IPS реализуются на практике в устройствах и решениях, действующих автономно и способных самостоятельно принимать решения. Однако по тому, что делают и как ведут себя сейчас поставщики систем IDS (а ведут они себя совершенно иначе по сравнению с тем, что мы видели раньше), можно сделать вывод: будущее IPS лежит в области не изолированных, а интегрированных решений, будь то сочетание с IDS, межсетевыми экранами или какими-то иными компонентами сетевой инфраструктуры. «От систем IPS сегодня требуется присутствие в сети, умение принимать решения и воздействовать на прохождение пакетов — все это функции сетевого устройства, — подчеркнул Макфарлэнд. — IPS — не одноразовый трюк. Это решение действительно должно быть всеобъемлющим».


Рост затрат на распознавание вторжений неизбежен

Проведенный META Group анализ ближайших инвестиционных планов компаний из числа Global 2000 показал наличие высокой заинтересованности в закупках сетевых и хостовых систем распознавания вторжений. Во многих организациях в долгосрочных планах числятся также консоли централизованного управления информацией о безопасности. Как отмечают в META Group, для директоров по безопасности не стал неожиданностью переход производителей от выпуска систем распознавания вторжений к системам их предотвращения. По прогнозу META Group, разница между двумя этими весьма родственными технологиями исчезнет в течение двух лет. Ведь количество «дыр», обнаруженных в программном обеспечении, с 1998 года выросло более чем в 15 раз.