Intrusion prevention system (IPS, система предотвращения вторжений) — это защитное решение, предназначенное для обнаружения и пресечения потенциально опасной активности в компьютерной сети или на отдельном устройстве. В отличие от Intrusion Detection System (IDS, система обнаружения вторжений), выявив подозрительную активность, например попытку проникнуть в сеть путем эксплуатации уязвимостей, IPS может не только уведомлять о ней ИБ-специалистов, но и блокировать ее.
Функции системы предотвращения вторжений может выполнять как специализированная программа, так и устройство. Также IPS может входить в состав других решений, например NGFW (next generation firewall, межсетевой экран нового поколения).
Иногда IPS также называют системой обнаружения и предотвращения вторжений (intrusion detection and prevention system, IDPS).
Сфера применения IPS
Системы предотвращения вторжений относятся к сетевым защитным решениям. Они могут контролировать:
- Трафик между локальной сетью и интернетом, а также трафик внутри локальной сети
- Пакеты данных, поступающие на конкретный хост (например, рабочую станцию или сервер) и отправляемые с него
- Устройства, подключающиеся к сети Wi-Fi
В зависимости от расположения и типа фильтруемого трафика, IPS можно разделить на сетевые системы предотвращения вторжений (network IPS, NIPS), системы предотвращения вторжений на узел (host IPS, HIPS), системы анализа поведения в сети (network behavior analysis, NBA) и системы предотвращения вторжений по беспроводной сети (wireless IPS, WIPS).
Обнаружение потенциально опасной активности
Системы предотвращения вторжений выявляют нежелательную активность одним из трех способов:
- Обнаружение на основании сигнатур — метод, при котором IPS сравнивает активность в сети с известными сигнатурами атаки. Если они совпадают, система принимает необходимые меры защиты.
- Обнаружение на основании аномального поведения. В этом случае IPS сравнивает сетевую активность с нормальным поведением контролируемого объекта. Если система обнаруживает отклонение от нормы, она принимает необходимые меры.
- Обнаружение на основании политик безопасности — метод, при котором IPS контролирует соблюдение политик безопасности, установленных в организации. Если система выявляет нарушение политик, она принимает меры, например оповещает администратора.
Противодействие вредоносной активности
Меры защиты, которые IPS может самостоятельно принять при обнаружении сетевой атаки, зависят от характера и серьезности угрозы. К таким мерам относятся:
- Блокировка IP-адреса, с которого поступает вредоносный трафик
- Отсеивание входящих пакетов с потенциально опасными данными
- Разрыв соединения
- Внесение изменений в правила безопасности межсетевого экрана
- Ограничение доступа к сети или устройству для приложений, использующих ненадежный протокол передачи данных