Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.

2. Профилактика получает одобрение.

Смогут ли системы предотвращения несанкционированных проникновений в корпоративные сети справится со своей задачей? Этим вопросом озабочены не только заказчики IPS, уже существующие и потенциальные, но и производители систем обнаружения проникновений, пытающиеся понять, каким образом справится с технологией, которая угрожает основам их бизнеса. Превосходство IPS по сравнению с IDS выделяется особенно ярко на фоне растущих требований клиентов к созданию более эффективных средств предотвращения несанкционированных вторжений в их сети. Но поскольку технологии становятся все сложнее, корпоративные клиенты чаще испытывают трудности при выявлении различий между «истинными» IPS и их упрощенными версиями, а также при интеграции IPS с различными элементами сетевых инфраструктур.

Роль работающих систем предотвращения вторжений трудно переоценить – многие специалисты по ИТ сегодня продолжают сегодня вынашивать систему профилактики атак, которые способны нанести компаниям очень серьезный ущерб. Эксперты в области безопасности предсказывают, что по мере совершенствования технологий IPS произойдет слияние систем IDS и межсетевых экранов, число механизмов IPS заметно увеличится, а производители средств анализа трафика и коммутирующего оборудования (в частности, Cisco Systems, F5 Networks и Nortel Networks) поведут борьбу за обладание короной IPS.

Некоторые аналитики, в том числе и специалисты компании Gartner, советуют своим клиентам воздержаться пока от крупных инвестиций в IDS и внимательно изучить все преимущества технологии IPS. «Организациям, уже вложившим в IDS серьезные средства и получившим якобы позитивные результаты, рекомендуем обратить внимание на производителей средств управление системами безопасности, в частности на компании ArcSight и NetForensics, - отметил вице-президент Gartner Джон Пескаторе. – Мы полагаем, что концепция IDS себя исчерпала. Она не представляет сегодня практически никакой ценности для корпоративных пользователей. Чтобы выжить, надо действовать быстрее, буквально со скорость прохождения информации по кабелю, и необходимо решать вопросы ложных срабатываний.

Ложные срабатывания – один из самых серьезных недостатков IDS – представляет собой весьма обременительную ношу при нехватке опыта обеспечения внутренней безопасности, а постоянно сокращающиеся бюджеты заставляют вновь и вновь поднимать вопросы, связанные с приоритетами обработки соответствующих событий. Технологии IPS позволяют избежать получения фальсифицированных позитивных результатов благодаря различным механизмам. Среди них, в частности, анализ сигнатур, изменяющихся в ходе проверки сессии, идентификация сетевых протоколов и пакетов с целью проверки на предмет обнаружения в них внезапных изменений шаблонов трафика (как это происходит в атаке, рассчитанной на отказ в обслуживании) или таких изменений, которые не предусмотрены установленными правилами. «Иногда люди пытаются бороться с каждым отдельно взятым уязвимым местом, хотя это вовсе не является необходимостью, особенно сегодня, когда штат организаций заметно сократился, - отмечает старший сетевой инженер компании Tower Records П. Дж. Кастро. – Мы должны сконцентрироваться на том, что может нанести реальный ущерб».

Усилия производителей средств безопасности, целью которых является успешное внедрение IPS, сводятся на нет наличием многочисленных брешей в системах безопасности и зачастую необходимостью проведения дорогостоящих процедур по устранению ущерба от вирусов. Широкое распространение вирусов последние год-полтора стало последней каплей, переполнившей чашу терпения многих клиентов. Глобальные эпидемии Nimba, Klez, Code Red и т.д. привели руководителей компаний к мысли о том, что создание эффективной системы ИТ-самообороны станет одним из важнейших факторов обеспечения нормального функционирования организаций в будущем.

«Все эти вирусы нанесли нам немалый урон, - заметил директор информационной службы университета штата Флорида Том Данфорд. – В отдельных случаях наше учебное заведение фактически оказывалось на грани выживания. Удару подверглись не отдельные компьютеры, а целые классы, и нам пришлось потратить немало денежных средств НАТО, чтобы очистить машины от вирусов и ликвидировать нанесенный ущерб. Безусловно, все это отняло много времени и отрицательно сказалось на производительности труда и учебном процессе. В конечном итоге, мы пришли к выводу, что добиться требуемого уровня безопасности можно лишь при условии проведения необходимых профилактических мероприятий».

Сегодня, к сети учебного заведения как внутри студенческого городка, так и за его пределами подключено более 10 тыс. пользователей, и Данфорду хотелось бы, чтобы система IPS обеспечивала выявление подозрительных действий в сети, их блокировку и последующее изучение с внутренней стороны межсетевого экрана. В декабре прошлого года в университете была установлена сетевая консоль UnityOne-200 компании TippingPoint Technologies, позволяющая осуществлять поиск потенциальных источников угроз. Результаты оказались обнадеживающими. Несмотря на наличие в сети множества серверов с Microsoft SQL Server, червь Slammer не смог проникнуть ни в одну из университетских систем.

Аппаратные консоли и IPS-системы TippingPoint UnityOne содержат механизм безопасной обработки сетевого трафика, в основу которого положены средства очень быстрого анализа заголовков сетевых пакетов. «Для успешного отражения атак путем блокирования подозрительных пакетов сразу после обнаружения угрозы, решения IPS просто необходимо сделать частью сетевой инфраструктуры, - подчеркивает технический директор TippingPoint Марк Виллебек-Лемер. – Задержка их срабатывания не должна превышать нескольких микросекунд. Поскольку в названиях IPS и IDS имеются две общие буквы, мы всегда вели разговор о следующем поколении семейства продуктов, хотя и имели в виду действительно разные вещи. Атаки обрушиваются на нас не только по всему внешнему периметру, но и с внутренней стороны. Система IPS будет эффективной только в том случае, если, интегрировав ее сетевую структуру, вы сможете отражать удары, наносимые с любого направления. IPS нельзя более считать лишь точкой доступа к глобальной сети».

3. Некоторые недостатки систем IPS.

Сегодня, аббревиатуру IPS можно увидеть в заголовках многих популярных изданий, однако приверженцы IDS, в частности представители компании Internet Security Systems (ISS), подвергают сомнению прогнозы, согласно которым системы IDS в ближайшее время уйдут в небытие, а клиентам понадобятся еще более эффективные средства сетевой защиты. «Наличие замка на входной двери вовсе не означает отказ от охранной сигнализации», - заметил технический директор ISS Крис Клаус.