Vue d'ensemble des solutions IPS corporatives sur le marché russe. Comment travailler des systèmes de détection d'intrusion

Invites Internet

Actuellement, il y a d'innombrables programmes malveillants variés. Les experts dans le domaine du logiciel antivirus comprennent parfaitement que les solutions basées uniquement sur les bases de données de signature du virus ne peuvent être efficaces contre certains types de menaces. De nombreux virus sont capables d'adapter, redimensionnez, noms de fichiers, processus et services.

Si vous ne pouvez pas détecter le danger potentiel du fichier pour des panneaux externes, il est possible de déterminer sa nature malveillante sur le comportement. C'est une analyse comportementale qui a un système de prévention de l'intrusion de système de prévention de l'intrusion hôte (hanches).

HIPS est un logiciel spécialisé qui est surveillé par des fichiers, des processus et des services à la recherche d'une activité suspecte. En d'autres termes, la protection proactive des hanches sert à bloquer les logiciels malveillants sur le critère d'exécution dangereuse du code. L'application de la technologie vous permet de conserver un système de sécurité optimal sans qu'il soit nécessaire de mettre à jour les bases.

Les hanches et les pare-feu (pare-feu) sont des composants étroitement liés. Si le pare-feu gère le trafic entrant et sortant, sur la base des ensembles de règles, les hanches gèrent le début et le travail des processus en fonction des modifications effectuées dans l'ordinateur en fonction des règles de contrôle.

Les modules de hanches protègent l'ordinateur des espèces de menaces bien connues et inconnues. Lorsque vous effectuez des actions suspectes, un programme malveillant ou un attaquant, des blocs de hanches cette activité, notifie l'utilisateur et offre d'autres solutions. Que font exactement les hanches?

Nous donnons une liste approximative d'actions, qui observe d'abord attentivement les hanches:

Gestion des autres programmes installés. Par exemple, envoyer des courriels à l'aide de standard client de messagerie ou lancez certaines pages dans le navigateur par défaut;

Tenter de modifier certains enregistrements du registre du système que le programme est lancé à certains événements;

Achèvement des autres programmes. Par exemple, désactiver le scanner antivirus;

Installer des périphériques et des pilotes qui fonctionnent devant d'autres programmes;

Accès de mémoire interprocesseur qui vous permet d'implémenter code malicieux Dans un programme de fiducie

À quoi s'attendre des hanches réussies?

Les hanches doivent avoir des pouvoirs suffisants pour arrêter l'activité d'un programme malveillant. Si la confirmation de l'utilisateur est nécessaire pour arrêter le travail du programme dangereux, l'efficacité du système est faible. Le système de prévention des intrusions doit avoir un ensemble spécifique de règles que l'utilisateur peut appliquer. Les opérations de la création de nouvelles règles doivent être disponibles (même si certaines exceptions doivent être). L'utilisateur travaillant avec des hanches devrait clairement comprendre les conséquences de ses changements. Sinon, les conflits logiciels et le système sont possibles. Informations Complémentaires Vous pouvez en apprendre davantage sur le travail du système de prévention de l'invasion sur des forums spécialisés ou dans un fichier de certificat antivirus.

Habituellement, la technologie HIPS fonctionne lorsque le processus est démarré. Il interrompt les actions lors de leur exécution. Cependant, il existe des produits hanches avec une détection préliminaire, lorsque le danger potentiel du fichier exécutable est déterminé avant qu'il ne soit lancé directement.

Y a-t-il des risques?

Les risques associés aux hanches sont de fausses réponses et des solutions d'utilisateurs incorrectes. Le système est responsable de certaines modifications effectuées par d'autres programmes. Par exemple, les hanches suivent toujours le chemin du registre du système. HKEY_LOCAL_MACHINE \\ LOGICIEL \\ Microsoft \\ Windows \\ CurrentVersion \\ ExécuterResponsable des programmes d'autoloading lors du démarrage du système.

Évidemment, de nombreux programmes sécurisés utilisent cette entrée Registre pour lancement automatique. Quand changera dans cette cléLes hanches sondent l'utilisateur sur l'action supplémentaire: autoriser ou désactiver les modifications. Très souvent, les utilisateurs appuyent simplement sur Autoriser, ne se délectent pas dans les informations, surtout s'ils définissent de nouveaux logiciels en ce moment.

Certaines hanches informent des solutions similaires à d'autres utilisateurs, cependant, avec un petit nombre d'entre eux, ils ne sont pas pertinents et peuvent induire en erreur l'utilisateur. Il reste à espérer que la plupart des utilisateurs vous ont fait le bon choix. Le système fonctionne bien lors de la détermination du danger potentiel et de la sortie du message d'alarme. En outre, même si les hanches déterminaient correctement la menace, l'utilisateur peut effectuer un effet incorrect et infecter ainsi le PC.

Conclusion: Les hanches sont un élément important de la protection multi-niveaux. Il est également recommandé d'utiliser d'autres modules de protection conjointement avec le système. Pour un fonctionnement optimal et efficace, l'utilisateur des hanches doit avoir certaines connaissances et qualifications.

Selon Malwarebytes blogs déballé

Trouvé une faute de frappe? Mettez en surbrillance et appuyez sur Ctrl + Entrée

Actuellement, la protection fournie par le pare-feu est un Ianutivirus est déjà inefficace contre les attaques de réseau de l'imalvaire. Entièrement plan, reposez sur des solutions de la classe IDS / IPS, qui peut détecter une inconnue aussi connue, de même que les mêmes menaces inconnues.

Info

  • O mod_security igreensql-fw Lire l'encre "Dernier front",] [_ 12_2010.
  • Comment enseigner les iptables "Cheking" à l'intérieur du colis, lisez l'encre "Fire Shield",] [_ 12_2010.

Technologie IDS / IPS

Pour faire un choix entre IDS ou IP, vous devez comprendre leurs principes de fonctionnement. Ainsi, la tâche IDS (système de détection d'intrusion) est autorisée à avoir l'irrégularité des attaques, attaquant l'alerte lorsqu'une règle est déclenchée. En fonction de l'OTTIPA, IDS peut identifier différents types d'attaques de réseau, détecter les tentatives d'accès non autorisé ou augmenter les privilèges, l'apparition de logiciels malveillants, suivez l'ouverture du nouveau le port.. D. VOTECHYCHI Écran de dépistage Seuls les paramètres de session (IP, numéro de port de liens), IDS "pairs" à l'intérieur du package (niveau géré OSI), analysant les données transmises. Il existe plusieurs types de systèmes de détection d'intrusion. APIDS (ID basé sur les protocoles d'application), qui surveillent la liste limitée de protocoles d'application recevront des attaques spécifiques. Les représentants typiques de cette classe sont des phpids, analysant les demandes d'applications KPHP, mod_security, protégeant le serveur Web (Apache), IGREENSQL-FW, bloquant les commandes SQL dangereuses (voir l'article "Dernière frontière"] [_ 12_2010).

Système de détection d'intrusion de réseau (système de détection d'intrusion de réseau) est plus polyvalent, qui est réalisé grâce à la technologie DPI (inspection de paquets profonds, inspection profonde du package). Ils contrôlent l'application non spécifique, avenant le trafic de passage, commençant un niveau scongé.

Pour certains filtres par lots, il est également mis en œuvre pour "regarder à l'intérieur" pour déverrouiller le danger. Un exemple est les projets OpendPi Andfwsnort. Ce dernier est un programme permettant de convertir les règles de blocage Waquivalent de la base de données Snort Signature pour les IPTABLES. Nuizally, le pare-feu est affûté pour d'autres tâches et le "surcharge" ITechnology DPI pour le moteur, de sorte que les fonctions de la rétroaction de données supplémentaires sont limitées en bloquant ou en étiquetant des protocoles strictement définis. Les identifiants ne font que des marques (alertes) toutes les actions suspectes. Pour bloquer l'hôte attaquant, l'administrateur reconfigure indépendamment le pare-feu tout en regardant des statistiques. Naturellement, le réconfitement du délai de réponse ici discours. C'est pourquoi aujourd'hui plus intéressant IPS (système de prévention des intrusions, système de prévention des attaques). Ils sont basés sur des uniformes eux-mêmes pour reconstruire un filtre de lots ou interrompre la session, envoi de TCP TCP. Selon le fonctionnement du travail, les IP peuvent être installés "Spray" ou utiliser la mise en miroir de la circulation (SPAN) obtenus par des capteurs de renforcement. Par exemple, le rotateur est installé par Hogwash Light Br, qui fonctionne par la manière OSI. Un tel système peut avoir une adresse IP, en tant que zèle, reste invisible pour le pirate informatique.

Dans la vie habituelle, la porte n'est pas tout de suite la nuit, Noid Noid Protect The Guard, laissant le garde près d'elle, car seule cette affaire peut être confiante à la sécurité. Attaquer de tels titres effectuera l'hôte IPS (voir "Nouvelle liste de défense" dans] [_ 08_2009), protégeant le système factice local, rootkiti zloma. Ils sont souvent confondus par Sanivirus, qui ont un module de protection proactif. Des signatures non utilisées, comme en témoignent les signatures non utilisées, comme en témoignent la mise à jour continue des bases. Ils contrôlent beaucoup plus de paramètres système: processus, intégrité fichiers système IRESTRA, les enregistrements des ventricons sont différents.

Pour posséder pleinement la situation, il est nécessaire de contrôler les événements isopose comme niveau d'entrée, de sorte que Inaurovna l'hôte. À cette fin, des ID hybrides ont été créés, qui collectent les données des sources uniquement (ces systèmes sont souvent attribués à la gestion des informations de sécurité CSIM). Parmi les projets OpenSource intéressés par les ID de prélude hybride, la collecte de données Pratiquement opensource IDS / IPS Impossiquent le format de journal différentes applications (La prise en charge de ce système a été suspendue il y a plusieurs années, des paquets professionnels peuvent toujours être trouvés Linux et * BSD implémentations).

Dans la diversité des solutions proposées, même les avantages peuvent être confondus. Aujourd'hui, nous vous familiariserons avec les représentants les plus lumineux IDS / IPS.

Contrôle conjoint des menaces

Internet moderne porte une énorme quantité de menaces, de sorte que les systèmes hautement spécialisés ne sont déjà pas pertinents. Il est nécessaire d'utiliser une solution multifonctionnelle complète qui inclut tous les composants de sécurité: pare-feu, IDS / IPS, antivirus, serveur proxy, filtre à filtre de contenu Jantispam. Ces dispositifs ont été appelés UTM (gestion unifiée des menaces, contrôle de la menace combiné). Les exemples UTM peuvent être apportés par Trend Micro Deep Security, Kerio Control, SonicWall Network Security, FortiGate Network Security Platformes et Appliances ou Distributions de Linux spécialisées, telles que Dotangle Gateway, Pare-feu IPCOP, PFSense (lire leur aperçu. [_01_2010).

Suricata.

La version bêta de cet IDS / IPS était représentée par le public du public Wanwar 2010 après trois ans de développement. L'objectif de projet à une têtes est la création d'une etobature de technologies entièrement nouvelles pour attaquer des attaques. Zasuricata est une union de l'OISF, qui aime soutenir les partenaires sérieux, y compris les gars du département de la sécurité intérieure. L'actuel est le numéro de version 1.1, qui a été publié en 2011. Le code du projet s'étend sous la licence GPLV2, les partenaires neufs financiers ont accès à la version de KNECH du moteur, qu'ils peuvent utiliser tous les produits. Pour obtenir le résultat maximum, la communauté est attirée, ce qui permet d'atteindre un rythme de développement très élevé. Par exemple, l'intoxication de la diffusion version 1.0, le volume du code B1.1 a augmenté de 70%. Certains identifiants modernes d'une véritable historique, le nombre interne d'isnort est engagé efficacement à l'aide de systèmes multiprocesseurs / multicœurs, ce qui entraîne des commandes lors du traitement d'une grande quantité de données. Suricata fonctionne initialement dans un mode intermédiaire. Les tests montrent que six couleurs dépassent la brièveté de snort (sur la base de la CPU C24 et de 128 Go de RAM). Lors de l'assemblage d'un Sparramereter '-Enable-Cuda', la possibilité d'accélération matérielle du GPU apparaît. Il est initialement pris en charge par l'IPv6 (INSERT est activé par la touche "-Enable-IPv6"), les interfaces standard sont utilisées pour le trafic intercepté: libpcap, Nfqueue, IPFring, IPFW. En général, la mise en page modulaire vous permet de connecter rapidement l'élément souhaité à capturer, à décoder, à analyser ou à traiter des paquets. Le blocage est effectué à l'aide d'un filtre à système d'exploitation régulier (Blinux d'activation du mode IPS, vous devez installer les bibliothèques NetLink-Wheee et LibnfnetLink). Le moteur détermine automatiquement les journaux des protocoles (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP, SMB, SMTP, ISCTP), il est donc impossible d'utiliser la bande portuaire (comme Snort le fait), il suffit de définir l'action pour le protocole souhaité. Ivan Ristic, auteur Mod_Security, a créé une bibliothèque HTP spéciale utilisée par l'Asuricata pour analyser le trafic HTTP. Les développeurs cherchent d'abord à atteindre l'exactitude de la détection de la vitesse de référence du contrôle des règles.


La sortie de sortie est unifiée, vous pouvez donc utiliser des utilitaires standard pour leur analyse. En fait, toutes les back-ends, interfaces et analyseurs écrites pour Snort (Bannyard, SnortSnarf, Sguil It. D.), Suricata travaille sans raffinement. C'est aussi beaucoup plus. SHTTP Exchange est connecté en détail par Apache Standard Format.

La base du mécanisme de détection de l'affirmation est les règles (règles). Ici, les développeurs n'ont pas encore désagréable d'inventer quoi que ce soit, il est prêt à connecter les rouleaux créés pour d'autres projets: Sourcefire VRT (vous pouvez mettre à jour sur OinkMaster), imerging menaces Pro. Les rejets en avant, le soutien n'était que partiel, introduit en estimant certaines règles, ce n'est pas résolu ce problème. Mis en œuvre par le format des règles, ressemblant à l'extérieur des snads. La règle consiste en des ressources des composants: action (pass, chute, rejet ou alerte), titre (IP / port de la source de la source de la source) Summer (que pour rechercher). Les insertions sont des variables utilisées (mécanisme de dérivation), permettant, par exemple, de créer des comptoirs. Dans ce cas, les informations de l'ISPACE peuvent être enregistrées pour une utilisation ultérieure. Cette approche utilisée pour suivre les tentatives de sélection de mot de passe est plus efficace que la méthode utilisée par la méthode qui exploite la valeur de seuil du déclenchement. Il est prévu de créer un mécanisme de réputation IP (comme SensorBase Cisco, voir l'article "Touch Cisco" dans] [_ 07_2011).

Résumation, je vais noter que Suricata est un moteur plus rapide que Snort, entièrement compatible avec les exemples de corrections Ibek-Edds, est sans danger pour vérifier les grands flux de réseau. Le seul inconvénient du projet est une documentation maigre, bien que l'administrateur expérimental ne soit pas attaché par le retrait. Les pâtisseries de distributions ont déjà apparu des packages pour l'installation, Anasay du projet est disponible pour effacer les instructions de la feuille de calcul des isisporters. Il y a une distribution de Sec lisse-SEC, construite par Nabasa Suricata.


Samhain.

La licence Samhain OpenSource fait référence à Khostov IDS Protection ordinateur séparé. Il utilise plusieurs méthodes d'analyse vous permettant de couvrir pleinement tous les événements qui se déroulent par l'USYTEM:

  • créer lorsque vous démarrez d'abord la base de données de signature des fichiers importants, la comparaison ESI avec le système vivant;
  • surveiller la janalyse des archives de VZhterns;
  • contrôle d'entrée / de sortie de la présence de
  • surveillance des connexions avec des ports de réseau cottage;
  • fichiers de contrôle des processus mousseux sudid voilatés.

Le programme peut être démarré avec un mode Naverid (le module du noyau est activé) lorsque les processus du noyau ne peuvent pas être détectés. Samhain soutient également la surveillance de plusieurs nœuds allant de différents systèmes d'exploitation, délégation de tous les événements d'eau. Dans le même temps, les agents identifiés par les nœuds additionnés envoient toutes les informations collectées (TCP, AES, Signature) par le canal hôte NASSERVER (Yule), qui enregistre son VBD (MySQL, PostgreSQL, Oracle). De plus, le serveur répond à une charte de l'état des systèmes clients, la diffusion des mises à jour des fichiers iconfiguring. Plusieurs options pour les alertes des informations actuelles collectées sont implémentées: E-mail (courrier est abonné à éviter les faux), Syslog, Fichier de journal (Signé), Nagios, Console IDR. La direction peut être faite par certains des ensembles de plusieurs appels. rôles installés.

Paquet disponible pour mettre en œuvre presque tous distributions Linux, Nazach Le projet Il existe une description Comment installer Samhain sous Windows.

Système de prévention des intrucions en pierres

Cette solution est développée par la société finlandaise, qui est engagée dans la création de produits de la classe d'entreprise couverts de sécurité du réseau. Nous ferons toutes les fonctions recherchées: IPS, la protection des attaques de l'OTDS- And0day, le filtrage Web, la prise en charge du trafic informatique crypté. D. StoneGate IPS peut bloquer le virus, les logiciels espions, les applications spécifiques (P2P, im ithege). Pour la filtration Web, une base de sites constamment mis à jour est utilisée, divisée par une catégorie similaire. Une attention particulière est accordée à la protection de la recherche sur la sécurité (techniques d'évasion avancée). La technologie de contrôle d'accès transparent vous permet de casser le réseau d'entreprise pour obtenir des informations sur les segments virtuels sans changer la topologie réelle, elle est dirigée pour chaque excédent de politiques de sécurité individuelles. Les stratégies de chèque de trafic sont configurées à l'aide de modèles contenant des règles typiques. Ces politiques sont créées par Waveline. L'administrateur vérifie les stratégies créées en chargeant leurs nœuds IPS admis. Des événements similaires installés IPS sont traités par le principe utilisé par les systèmes CSIM / SIEM, ce qui facilite considérablement l'analyse. Plusieurs appareils peuvent facilement combiner le woster à l'intégration des solutions bloquées Stonesoft - StoneGate Firewall / VPN et Stonegate SSL VPN. La gestion est fournie par Internet Management Center (Stonegate Management Center), composée de composants: serveur de gestion, serveur de journal et client maigre. La console permet pas assez de configurer le travail de l'IPS pour indiquer de nouvelles règles de finicite, la surveillance du bruit pour améliorer les grumes. Il est écrit par Java, des versions disponibles pour Windows Andlinux.


StoneGate IPS est fourni comme harnais du complexe matériel, de sorte que yves video Image VMware. Ce dernier est conçu pour établir des équipements de saisie ou une infrastructure dipnetute. Dans le chemin, l'accumulation de mâts de telles solutions, La société de développeur donne une version cadran de l'image.

Système de prévention des intrusions d'intrusion IBM Security Network

Le système de prévention des attaques développé par IBM utilise la technologie d'analyse de protocole brevetée, qui offre une protection préventive du nombre actuel de menaces iot0day. Comme tous les produits de la série de sécurité IBM, c'est la base du module d'analyse de protocole - PAM (module d'analyse de protocole), combinant toute la méthode de détection d'attaque de signature traditionnelle (Proventia openSignature). Dans le même temps, PAM distingue 218 protocoles de niveau d'application (attaques via VoIP, RPC, HTTP IT. D.) Les formats de données ITALIQUES, tels que DOC, XLS, PDF, ANI, JPG à prédire dans la mesure où le code malveillant peut être mis en œuvre. Pour l'analyse de la circulation, plus de 3000 algorithmes sont utilisés, 200 excédent "capturés" DOS. Les fonctions du pare-feu vous permettent d'autoriser l'accès uniquement aux autres ports d'IIP, éliminant ainsi la nécessité d'attirer un périphérique supplémentaire. Les blocs de la technologie de correctifs virtuels diffament des virus pour distribuer le rétablissement des ordinateurs d'une mise à jour qui élimine la vulnérabilité critique. Si nécessaire, l'administrateur lui-même peut créer une utilisation de la signature. Le module de contrôle des applications vous permet de contrôler les éléments P2P, IM, ActiveX, outils Vpn ça.. D. IPRI doit les bloquer. Le module DLP est mis en œuvre, qui a suivi des tentatives pour transmettre des informations confidentielles des données réseau transmises, ce qui vous permet d'évaluer les risques pour déverrouiller les fuites. Huit types de données (numéros de carte de crédit, téléphones ...), le reste des informations spécifiques à l'organisation définira le reste de l'organisation indépendamment avec expressions régulières. À l'heure actuelle, la plupart des vulnérabilités représentent la navigation, le produit IBM comprend donc un module spécial de sécurité Web de l'application Web, qui protège les systèmes d'attaques réfléchies: Injection SQL, injection de LDAP, XSS, JSON HIJACING, PHP Fichier-Include, CSRF IT D .


Il existe plusieurs options d'action lorsque l'attaque est détectée - le blocage de l'hôte, envoyant un avertissement, enregistrant le trafic d'attaque (fichier, CTCPDump), salle du nœud VCARTIN, exécutant le fonctionnement sur mesure de l'utilisateur des autres. Les stratégies sont prescrites jusqu'à la durée du port, des adresses IP ou des zones VLAN. Le mode de haute disponibilité garantit que la libération d'une extension d'un périphérique IPS élargi existante existant, le trafic passera par une autre, les composés montriens seront poursuivis. Tous les sous-systèmes à l'intérieur des glandes - RAID, alimentation, le ventilateur de refroidissement est dupliqué. La configuration produite à l'aide de la console Web est aussi simple que possible (cours de formation du dernier jour). S'il existe plusieurs périphériques, IBM Security SiteProtector est généralement acheté, qui fournit une gestion centralisée, effectue une analyse du journal des rapports.

Plate-forme de sécurité réseau McAfee 7

Intrushield IPS émis par McAfee, l'heure était l'une des solutions IPS. Maintenant, la base a été développée par McAfee Network Security Platform 7 (NSP). Distribution des fonctions Classic Nips Fonctions Nouveau produit Outils de produit pour analyser les paquets transmis par pottrene réseau d'entrepriseCela contribue à détecter le trafic malveillant initié par des entreprises infectées. Le VCAFee utilise la technologie mondiale de renseignement de la menace, qui collecte les informations de la taille des milliers de capteurs montés dans le monde, la réputation de tous les fichiers uniques, IP Andurl des orprocols. Grâce à cela, le NSP peut détecter le trafic Botnet, identifier tous les jours des attaques IDDOS, une large couverture vous permet d'apporter la probabilité d'une fausse réponse.

Effacement des ID / IPS peut travailler machines virtuellesAprès tout, l'ensemble des échanges se produit dans des interfaces sous-estimées. Les problèmes de Satiim des égouts NONSP, il sait comment analyser le trafic entre la machine virtuelle, l'attaque entre l'hôte VM IPhisian. Pour l'observation des mouettes, l'agent de check-out des systèmes Reflex est utilisé, qui collecte les informations de référence BVM et le support VFTYSIC pour l'analyse.

Le moteur distingue plus de 1 100 applications exécutées par le niveau natif OSI. Il parcourant du trafic à l'aide du mécanisme d'analyse de contenu, il fournit des outils de gestion simples.

En plus des NIPS, McAfee publie leur IPS - hôte prévention des intrusions pour le bureau, qui fournit défense complexe PC utilisant de telles méthodes de détection de menaces, comme analyse du comportement des insignifiants, surveillant l'état des composés du pare-feu, l'évaluation de la réputation pour bloquer les attaques.

Où déployer IDS / IPS?

Pour utiliser efficacement IDS / IPS, vous devez suivre les recommandations suivantes:

  • Le système doit être déployé par la survol du réseau protégé ou du sous-réseau et simultanément avec un écran de substitution (il n'est pas question de contrôler le trafic qui sera bloqué) - nous réduirons donc la charge. Dans des cas d'addition, les capteurs sont définis sur un segment d'inventaire.
  • Avant d'activer la fonction IPS, vous devez conduire un système de diagramme, des ID non bloquants. La distance sera nécessaire pour ajuster périodiquement les règles.
  • La plupart des paramètres IPS sont installés par une image de réseaux naturels. Les cas de crédit, ils peuvent être inefficaces. Il est donc nécessaire de spécifier la propriété intellectuelle des sous-réseaux internes des applications utilisées (ports). Cela aidera le matériel à comprendre, il a une affaire.
  • Si le système IPS est défini sur "Rotator", il est nécessaire de contrôler ses performances, sinon la sortie du périphérique de sortie peut facilement paralyser tout le réseau.

Conclusion

Gagnants pour déterminer la portée. Le choix d'un cas particulier dépend de l'EBBOOK, de la topologie du réseau, des fonctions de protection requises, du désir de l'essai d'administration et, bien entendu, des risques. Les solutions commerciales sont prises en charge par des certificats, ce qui permet d'utiliser ces solutions aux vorganisations engagées dans la comptabilisation actuelle des données personnelles diffusées par la licence de logiciels de sniff parfaitement documentée, a une base de données assez importante de la réserve fluide du rôle. exigé par l'urinis. Une Suricata compatible Suricata peut protéger le réseau au trafic fréquent et, surtout, absolument gratuitement.

Les appareils électroniques modernes sont pratiquement polyvalents. Ainsi, par exemple, un smartphone s'adresse parfaitement sans appels (leur réception et leur commis), mais aussi pour poursuivre l'espace Internet, écouter de la musique, voir des vidéos ou lire des livres. Pour ces mêmes tâches, la tablette convient. L'écran est l'une des parties les plus importantes de l'électronique, surtout si elle est sensorielle et sert non seulement à afficher des fichiers, mais également de contrôler. Nous vous familiariserons avec les caractéristiques des écrans et des technologies pour lesquels ils sont créés. Nous allons accorder une attention particulière à ce que l'écran IPS est, qui est pour la technologie, dans laquelle ses avantages.

Comment l'écran LCD est disposé

Tout d'abord, nous allons comprendre comment la technique moderne est équipée de laquelle. Tout d'abord, c'est une matrice active. Il se compose de transistors de microcyne. Merci à eux et l'image est formée. Deuxièmement, c'est une couche de cristaux liquides. Ils sont équipés de filtres de lumière et créent des sous-pixels R-, G-, B. Troisièmement, il s'agit d'un système d'éclairage de l'écran qui vous permet de faire une image visible. Il peut être luminescent ou LED.

Caractéristiques technologie IPS

Strictement parlant, IPS Matrix est un type de technologie TFT, qui crée des écrans LCD. Sous TFT comprenez souvent les moniteurs produits par la méthode TN-TFT. Basé sur cela, vous pouvez faire une comparaison. Pour vous familiariser avec les subtilités de la sélection de l'électronique, nous allons comprendre qu'un tel écran IPS est que ce concept est noté. La principale chose est que cela distingue ces affichages de TN TFT, l'emplacement des pixels à cristaux liquides. Dans le second cas, ils sont situés sur l'hélice, sont à un angle de quatre-vingt-dix-sept degrés horizontalement entre deux plaques. Dans la première (ce qui nous intéresse principalement), la matrice est constituée de transistors à film mince. De plus, les cristaux sont situés le long du plan d'écran parallèle l'un à l'autre. Sans réception sur eux, les tensions qu'ils ne tournent pas. À TFT, chaque transistor gère un écran d'un point.

La différence d'IP de TN-TFT

Considérons plus d'IPS ce que c'est. Les moniteurs créés sur cette technologie ont beaucoup d'avantages. Tout d'abord, c'est un grand rendu de couleur. Tout le spectre des nuances de l'écorce est réaliste. En raison du vaste coin de l'examen, l'image ne flexe pas, de quel point n'est pas un coup d'œil. Les moniteurs ont un contraste plus élevé et clair en raison du fait que la couleur noire est transmise simplement parfaite. Il est possible de noter les moyens suivants que le type d'écran IPS a. Ce qui est, tout d'abord, beaucoup de consommation d'énergie, un inconvénient important. De plus, des dispositifs équipés de tels écrans sont chers, car leur production coûte très cher. En conséquence, TN-TFT a des caractéristiques diamétralement opposées. Ils ont moins d'une vue d'ensemble, lors du changement du point de vue, l'image est déformée. Au soleil, ils n'utilisent pas très pratique. L'image assombrit, prévenue l'éblouissement. Cependant, de tels affichages ont une réponse rapide, moins consomment d'énergie et sont disponibles à un prix. Par conséquent, ces moniteurs sont installés dans des modèles budgétaires d'électronique. Ainsi, il est possible de conclure dans quels cas l'écran IPS convient, qui est une chose magnifique pour les amateurs de cinéma, les photos et les vidéos. Cependant, en raison de la moins de réactivité, ils ne sont pas recommandés aux fans de jeux informatiques dynamiques.

Développement de sociétés de premier plan

Lui-même technologie IPS Il a été créé par la société japonaise Hitachi avec NEC. Il était nouveau en elle était l'emplacement des cristaux de cristaux liquides: pas sur l'hélice (comme dans TN TFT), mais parallèlement l'un à l'autre et le long de l'écran. En conséquence, un tel moniteur transmet les couleurs plus brillantes et saturées. L'image est visible même au soleil. L'angle de la matrice IPS est cent soixante-dix-huit degrés. Vous pouvez regarder sur l'écran à partir de n'importe quel point: bas, haut, droite, gauche. L'image reste clair. Les comprimés populaires d'affichage IPS libèrent des pommes, elles sont créées sur matrice IPS Rétine. Une densité de pixels agrandie est utilisée pour un pouce. En conséquence, l'image sur l'écran sort sans grain, les couleurs sont transmises sans heurts. Selon les développeurs, l'œil humain ne remarque pas de microparticules, s'il ya plus de 300 pixels PPI. Maintenant, les appareils avec IPS affichent deviennent plus abordables par le prix, ils commencent à fournir des modèles budgétaires d'électronique. De nouvelles variétés de matrices sont créées. Par exemple, MVA / PVA. Ils ont une réponse rapide, un grand angle de vision et une merveilleuse reproduction de la couleur.

Appareils d'écran multitouch

Récemment, la popularité élevée a gagné des appareils électroniques avec contrôle sensoriel. Et ce ne sont pas seulement des smartphones. Produire des ordinateurs portables, des comprimés, dont écran tactile IPS, servant la gestion de fichiers, images. Ces appareils sont indispensables à travailler avec vidéo, photographies. Selon, les périphériques compacts et compacts sont trouvés. MultiTouch est capable de reconnaître dix tactiles simultanément, c'est-à-dire sur un tel moniteur, vous pouvez travailler à la fois avec deux mains. Petit appareils mobiles, par exemple, des smartphones ou des comprimés avec une diagonale de sept pouces, reconnaissent cinq touches. C'est assez assez si votre smartphone a un petit écran IPS. Qu'il est très pratique, de nombreux acheteurs de périphériques compacts appréciés.

Dmitry Volkov
Responsable de l'enquête sur l'incident informatique, groupe-ib

Développement moderne IPS.

Les systèmes de prévention des intrusions de réseau (IPS) peuvent devenir un outil efficace pour les personnes engagées dans la sécurité et le fer coûteux, à l'époussetage sans affaires. Que le système IPS ne devienne pas de déception, il devrait au moins répondre aux exigences suivantes à prendre en compte lorsqu'elle est sélectionnée.

Le système doit:

  1. avoir une large gamme de modèles répondant aux exigences des petits bureaux régionaux et d'une entreprise principale avec des réseaux multi-hygate;
  2. maintenir non seulement une analyse de la signature, mais également une analyse anormale des protocoles et, bien entendu, l'analyse comportementale;
  3. donnez une image claire du réseau et des périphériques qui y sont liés;
  4. assurer le travail en mode IDS, effectuer une analyse comportementale, disposez d'outils pour mener des enquêtes;
  5. avoir une gestion centralisée des systèmes IPS / IDS installés;
  6. avoir de bons outils d'analyse pour améliorer efficacement des politiques de sécurité.

Les systèmes IDS / IPS sont le plus souvent connectés là où il existe des ressources essentielles. Mais outre le fait qu'il est nécessaire de bloquer les attaques de ces ressources, il est nécessaire de contrôler constamment sur eux, à savoir: savoir laquelle de ces ressources sont vulnérables de la manière dont leur comportement dans le réseau change. Par conséquent, des fonctionnalités supplémentaires doivent être ajoutées aux systèmes IDS / IPS, leur permettant de protéger les ressources requises de manière plus fiable, tout en réduisant le coût de la propriété. Ainsi, la protection peut être effectuée en trois phases - IPS, IPS adaptative, gestion des menaces d'entreprise. La fonctionnalité de chaque phase suivante inclut toutes les fonctions de la phase précédente et augmente plus de nouveau.


Phase 1. Vous pouvez contrôler et / ou bloquer des attaques à l'aide de milliers de vulnérabilités, c'est-à-dire qu'il s'agit de capteurs et de centres de contrôle Standard IPS.

Phase 2. La possibilité d'étudier le réseau, d'appliquer des événements et d'automatiser la configuration IPS.

Phase 3. Full fonctionnalité possible Protéger le réseau d'entreprise avant, pendant et après l'attaque.

ETM est le premier mode de réalisation de la prise de conscience que, protégeant les ressources d'information, il est nécessaire de travailler plus intelligemment et non d'amplification. Du point de vue technologique, ETM est une combinaison de quatre technologies de gestion des menaces et de vulnérabilités combinées en une solution unique, qui contrôlait de manière centralisée. En conséquence, cette décision fournit plus de possibilités que chaque produit séparément. Comme le montre la Fig. 3, ETM consiste en un système de prévention de l'intrusion (IPS), analyse de comportement réseau (NBA), contrôle d'accès au réseau (CNA), analyse de la vulnérabilité (VA), sous-systèmes d'échange de données et gestion centralisée.

Comparaison des fabricants IPS.

En figue. 4 Il est montré que les fabricants de systèmes IPS se trouvent dans la tête. Mais, sans croire à Gartner, regardons quelle fonctionnalité est disponible chez chaque fabricant.

Comme vous pouvez le constater, certains n'ont aucune fonctionnalité importante, telle qu'une enquête de niveau de lot, ainsi que la visualisation et la création de règles. Sans de telles caractéristiques, il n'est parfois absolument pas clair pourquoi le système émet des avertissements et de découvrir la cause de ces avertissements, cela prendra beaucoup de temps.

L'absence d'un mécanisme de création d'une politique de conformité impose également certaines limitations. Par exemple, avec un audit externe, il est utile de démontrer comment les dispositions de vos politiques sont réellement effectuées. De nouveaux commentaires sont superflus, car la véritable état de fait ne sera claire qu'après la mise en œuvre réelle dans l'environnement industriel.

Il faut rappeler que la fourniture de la sécurité du réseau est une tâche complexe et les solutions fragmentées sont loin d'assurer toujours l'intégrité de la perception et entraînent des coûts supplémentaires.

Bref examen

Systèmes Cisco.

Des solutions fiables, ont un excellent support, mais lourds dans le réglage, une analyse d'alarme donne beaucoup de faux positifs, l'interface de contrôle avec un grand nombre d'événements ne permet pas de désassembler de manière adéquate les événements fixes. Pour un fonctionnement complet, des investissements supplémentaires sont nécessaires dans le système de surveillance, d'analyse et de réponse de la sécurité Cisco (CS-Mars).

Poinçon.

Les systèmes de ce fabricant sont pratiques de configurer et d'installer. Avoir une bonne interface de contrôle, mais ne peut être connectée que dans un espace, c'est-à-dire sans détection passive. Ne permettez pas d'élargir la fonctionnalité et ne sont simplement qu'un système IDS / IPS.

Lors de l'une des conférences, le représentant du devinement dans son discours a déclaré que leur équipement peut être installé et l'oublier - et une telle stratégie de protection.

Peut-être que quelqu'un l'entère, mais c'est difficile pour moi d'être d'accord. Tout outil de sécurité doit être contrôlé, sinon vous ne serez jamais dû. Par exemple, si quelqu'un tente de pirater de manière persistante de pirater votre portail partenaire et que cela ne pourrait pas être fait au cours des deux premières fois grâce au système IPS, alors pour la troisième fois, il réussira et sans contrôler le système IPS, vous ne reconnaîtrez pas et Empêcher les tentatives ultérieures que vous ne travaillerez pas.

Réseaux de genévrier.

Quels que soient les analystes de Gartner ou d'autres publications, disent que quelque chose de bien sur leurs produits est difficile. Le système est terriblement complexe dans le cadre. La console de contrôle NSM est très limitée. L'affichage des résultats est fabriqué de manière à ce qu'il semble que les développeurs ont essayé de le faire de manière à ce qu'elles semblaient moins que possible et espéraient que les attaques sont vraiment reflétées.

Sourcefire

Peut-être, meilleur système. Pratique tout. La fonctionnalité est incroyablement large. De plus, le système dispose déjà des caractéristiques intégrées d'une collecte de données détaillée, de nœuds attaqués et d'attaqués, et non seulement des adresses IP et MAC, ce qui réduit considérablement le temps d'analyse et d'analyse des événements. Cette information comprend l'historique des composés, ouverts et ensuite
Ports fermés, types d'adresses transmis, noms d'utilisateur, si, par exemple, transférés à FTP ou à un courrier électronique, et, bien sûr, l'adresse e-mail elle-même. Dans les grands réseaux, il peut devenir un moyen de protection indispensable. Libérez leurs décisions depuis 2001, mais est venue récemment sur le marché russe.

Conclusion

Il n'est pas nécessaire d'introduire un certain nombre de nouveaux produits qui ne décident qu'un seul problème. Les outils de sécurité statiques ne peuvent pas protéger l'environnement dynamique. Il est nécessaire de prendre le temps de vos employés et de leurs efforts. Laissez-les mieux travailler, et pas plus intenses. Réduire le coût du support hétérogène. Réduisez le temps passé à l'analyse des données à partir d'une variété de consoles et de rapports. Nous gaspillons de l'argent avec l'esprit jusqu'à ce que le système de sécurité ne soit pas devenu plus coûteux que les risques à partir desquels vous êtes protégé.

La détection d'intrusion est une détection logicielle ou matérielle d'attaques et d'actions malveillantes. Ils aident les réseaux et les systèmes informatiques leur donner une repuffère appropriée. Pour atteindre cet ID d'objectif, une collection d'informations provenant de nombreuses sources de système ou de réseau. Le système IDS l'analyse puis l'analyse pour la présence d'attaques. Cet article tentera de répondre à la question suivante: "IDS - Qu'est-ce que c'est et de quoi est-ce nécessaire?"

Quels sont les systèmes de détection d'invasion nécessaires (IDS)

Les systèmes d'information et les réseaux sont constamment soumis à des cyberattaques. Les pare-feu et les antivirus pour refléter toutes ces attaques ne suffisent clairement pas, car ils ne sont capables de protéger l'entrée principale des systèmes informatiques et des réseaux. Différents adolescents qui ont altéré de hackers grognent continuellement sur Internet à la recherche de machines à sous dans des systèmes de sécurité.

Merci internet À leur disposition beaucoup de logiciels malveillants absolument libres - toutes sortes de maillants, d'œillères et de tels programmes nocifs. Les services de pirates informatiques bénéficient d'entreprises concurrentes pour se neutraliser. Donc, les systèmes qui détectent l'invasion (systèmes de détection d'intrusion) sont un besoin urgent. Il n'est pas surprenant que chaque jour ils soient de plus en plus utilisés.

Éléments IDS

Les éléments IDS comprennent:

  • sous-système de détecteur, dont l'accumulation d'événements de réseau est l'accumulation ou système d'ordinateur;
  • sous-système d'analyse qui détecte les cyberattaques et l'activité douteuse;
  • stockage pour l'accumulation d'informations sur les événements, ainsi que les résultats de l'analyse des cyberattaques et des actions non autorisées;
  • la console de contrôle, avec laquelle vous pouvez spécifier des paramètres IDS, suivre l'état du réseau (ou système informatique), avoir accès à des informations sur le sous-système d'analyse d'attaque détectée et les actions illicites.

Au fait, beaucoup peuvent demander: "Comment les identifiants sont-ils traduits?" La traduction de l'anglais semble être "un système qui se soucie d'invités non désirés chauds".

Les tâches principales qui résolvent des systèmes de détection d'intrusion

Le système de détection d'intrusion comporte deux tâches principales: analyse et réaction adéquate sur la base des résultats de cette analyse. Pour effectuer ces tâches, le système IDS effectue les actions suivantes:

  • surveiller et analyser l'activité de l'utilisateur;
  • engagé dans l'audit de la configuration du système et de ses faiblesses;
  • vérifie l'intégrité des fichiers système les plus importants, ainsi que des fichiers de données;
  • effectue une analyse statistique des États du système sur la base de la comparaison avec les états survenus lors des attaques déjà connues;
  • effectue un audit du système d'exploitation.

Ce qui peut assurer le système de détection d'intrusion et que ce n'est pas pour

Avec cela, vous pouvez obtenir ce qui suit:

  • améliorer les paramètres d'intégrité;
  • tracez l'activité de l'utilisateur à partir du moment de son entrée dans le système et jusqu'à ce que des préjudice ou le travail de toute action non autorisée soit appliquée;
  • reconnaître et notifier les données de modification ou de suppression;
  • automatiser les tâches de surveillance Internet afin de rechercher les dernières attaques;
  • identifier les erreurs dans la configuration du système;
  • détecter le début de l'attaque et l'avertit.

Le système IDS peut faire ceci:

  • remplissez des défauts dans les protocoles de réseau;
  • jouer un rôle compensatoire en cas de faibles mécanismes d'identification et d'authentification dans des réseaux ou des systèmes informatiques qu'il surveille;
  • il convient également de noter que les IDS ne font pas toujours face aux problèmes associés aux attaques du niveau de paquets (niveau de paquet).

IPS (système de prévention des intrusions) - IDS continue

IPS est déchiffré comme "empêchant l'invasion du système". Ce sont des variétés d'identifiants étendues et plus fonctionnelles. Système IPS IDS réactif (par opposition à la normale). Cela signifie qu'ils ne peuvent pas seulement détecter, écrire et notifier sur l'attaque, mais aussi pour effectuer des fonctions de protection. Ces fonctionnalités comprennent les connexions de réinitialisation et le blocage des packages de trafic entrants. Une autre caractéristique distinctive de l'IPS est qu'ils travaillent en ligne et peuvent automatiquement bloquer les attaques.

ID de sous-espèce par méthode de surveillance

Nids (c'est-à-dire IDS, qui surveillent l'ensemble du réseau (réseau)) participe à l'analyse de l'ensemble du trafic de sous-réseau et sont contrôlés de manière centralisée. Emplacement correct Plusieurs NID peuvent atteindre une surveillance assez importante de la taille du réseau.

Ils travaillent dans un mode inintelligible (c'est-à-dire qu'ils vérifient tous les paquets entrants et ne le rendent pas sélectivement), comparant le trafic de sous-réseau avec des attaques bien connues de sa bibliothèque. Lorsqu'une attaque est identifiée ou une activité non autorisée est détectée, l'administrateur est envoyé une alarme. Cependant, il convient de mentionner que dans un grand réseau avec de la circulation de Nids importants, ne faites pas face à la vérification de tous les packages d'information. Par conséquent, il est possible que pendant le "sommet aigu", ils ne pourront pas reconnaître l'attaque.

Les NIDS (ID basées sur les réseaux) sont ces systèmes faciles à intégrer aux nouvelles topologies du réseau, car ils n'ont aucune influence particulière sur leur fonctionnement, étant passif. Ils ne résolvent, écrivent et notifient que, contrairement au type réactif des systèmes IPS, dont il était ci-dessus. Cependant, il est également nécessaire de dire sur les identifiants basés sur les réseau que ce sont des systèmes qui ne peuvent pas être analysés par cryptage. Il s'agit d'un inconvénient important, car en raison de la mise en œuvre de plus en plus de réseaux virtuels de réseaux virtuels (VPN), les informations cryptées sont de plus en plus utilisées par les cybercriminels pour les attaques.

De plus, NIDS ne peut pas déterminer ce qui s'est passé à la suite de l'attaque, cela a causé des dommages ou non. Tout ce qu'ils peuvent faire est de le réparer. Par conséquent, l'administrateur est obligé de revérifier de manière indépendante chaque cas d'attaque afin de s'assurer que les attaquants ont atteint leur propre. Un autre problème significatif est que Nids fixe à peine des attaques à l'aide d'emballages fragmentés. Ils sont particulièrement dangereux car ils peuvent perturber le fonctionnement normal des NID. Que peut signifier pour l'ensemble du réseau ou du système informatique, vous n'avez pas besoin d'expliquer.

HIDS (système de détection d'intruction hôte)

HIDS (IDS, Hôte de surveillance (hôte)) Servir uniquement à un ordinateur particulier. Ceci, naturellement, offre une efficacité beaucoup plus élevée. HIDS analyse deux types d'informations: journaux système et résultats d'audit du système d'exploitation. Ils font un instantané de fichiers système et la comparent avec une image antérieure. Si les fichiers sont critiques pour que le système ait été modifié ou supprimé, le signal d'anxiété est envoyé à l'administrateur.

L'avantage essentiel des HID est la capacité d'effectuer leur travail dans une situation où le trafic réseau peut être crypté. Cela est possible en raison du fait que les sources d'informations sur l'hôte (basé sur l'hôte) peuvent être créées avant que les données ne soient cryptées ou après leur déchiffrement de l'hôte de destination.

Les inconvénients de ce système incluent la possibilité de la bloquer ou même une interdiction utilisant certains types d'attaques de DOS. Le problème ici est que les capteurs et certains moyens d'analyse des cahés sont sur l'hôte, qui est attaqué, c'est-à-dire qu'ils sont également attaqués. Le fait que HIDS utilise des ressources hôtes dont ils sont surveillés, il est également difficile d'appeler un avantage, car il réduit naturellement leurs performances.

IDS à sous-espèces utilisant des méthodes d'identification d'attaque

Méthode d'anomalies, méthode d'analyse de signature et méthode des stratégies - telles que la sous-espèce en fonction des méthodes d'identification des attaques a un système IDS.

Méthode d'analyse de la signature

Dans ce cas, les paquets de données sont vérifiés pour les signatures d'attaque. La signature d'attaque est la correspondance de l'événement à l'un des échantillons décrivant l'attaque connue. Cette méthode est assez efficace, car lorsque vous l'utilisez, le message sur les fausses attaques est plutôt rare.

Méthode d'anomalie

Lorsqu'il est assisté, des actions illégales sur le réseau et des hôtes sont détectées. Sur la base de l'historique des travaux normaux de l'hôte et du réseau, des profils spéciaux sont créés avec des données à ce sujet. Ensuite, le jeu prend des détecteurs spéciaux qui analysent des événements. Avec l'aide de divers algorithmes, ils produisent une analyse de ces événements, les comparant à la "norme" dans les profils. Pas besoin d'accumuler un grand nombre de signatures d'attaque - un certain plus de cette méthode. Cependant, un nombre considérable de faux signaux sur les attaques dans des événements atypiques, mais tout à fait légaux dans le réseau est sans aucun doute moins.

Méthode de politique

Une autre méthode d'identification d'une attaque est la méthode de la stratégie. Son essence - dans la création de règles de sécurité réseau, dans lesquelles, par exemple, le principe d'interaction entre les réseaux entre eux et les protocoles utilisés peuvent être indiqués. Cette méthode est prometteuse, toutefois, la complexité réside dans un processus suffisamment difficile de créer une base de politique.

Les systèmes d'identification fourniront une protection fiable de vos réseaux et de systèmes informatiques.

Le groupe d'entreprises d'identification de systèmes est actuellement l'un des leaders du marché dans le domaine des systèmes de sécurité pour les réseaux informatiques. Cela vous fournira une protection fiable contre les Cyber \u200b\u200bVillains. Avec les systèmes de protection des systèmes d'identification, vous ne pouvez pas vous inquiéter des données importantes pour vous. Grâce à cela, vous pouvez profiter de la vie plus, car vous aurez moins de problèmes dans votre cœur.

ID Systems - Revues des employés

Belle équipe, et surtout, bien sûr, est la bonne attitude de la gestion de la société à ses employés. Tous (même les nouveaux arrivants incroyables) ont la possibilité d'une croissance professionnelle. Vrai, pour cela, naturellement, vous devez vous montrer, puis tout se passera.

L'équipe a une atmosphère saine. Les débutants enseignent toujours tout et tout le monde va montrer. Aucune concurrence malsaine n'est ressentie. Les employés qui travaillent dans la société depuis de nombreuses années sont heureux de partager toutes les subtilités techniques. Ils sont bons, même sans l'ombre de la condescendance répondant aux problèmes les plus stupides des employés inexpérimentés. En général, du travail dans les systèmes d'identification, des émotions agréables.

La gestion des dirigeants est ravie. Plie aussi ce qui est évidemment capable de travailler avec des cadres, car l'équipe a vraiment un très professionnel. L'avis des employés est presque certainement: ils se sentent au travail comme à la maison.

Avez-vous aimé l'article? Partager avec des amis:
Vous pouvez aussi être intéressé