Сегодня, аббревиатуру IPS можно увидеть в заголовках многих популярных изданий, однако приверженцы IDS, в частности представители компании Internet Security Systems (ISS), подвергают сомнению прогнозы, согласно которым системы IDS в ближайшее время уйдут в небытие, а клиентам понадобятся еще более эффективные средства сетевой защиты. «Наличие замка на входной двери вовсе не означает отказ от охранной сигнализации», - заметил технический директор ISS Крис Клаус.
В то же время нельзя отрицать, что производители систем IPS оказывают давление на рынок IDS, с тем чтобы в выгодном свете представить свои собственные разработки. Компания ISS в числе многих переходит сейчас от подхода, предусматривающего совершенствование ответных действий при обнаружении атак, к разработке технологий, реализующих превентивные меры защиты. В частности, такая стратегия может опираться на внедрение управляющих служб, собирающих информацию о серверах и настольных компьютерах, анализирующих журналы операционных систем и прочие сведения, позволяющие оценить текущее положение дел.
|
|
«Разработчикам IPS сегодня приходится преодолевать скептический настрой клиентов, порождаемый незавершенными проектами в области обеспечения безопасности информационных систем и невыполненными обещаниями предоставить «волшебную палочку», с помощью которой можно будет защититься от чего угодно», - пояснил начальник службы безопасности компании Radianz Ллойд Хейшн.
Трудности, обусловленные необходимостью глубокого изучения сетевого трафика и постоянного мониторинга в онлайновом режиме, говорят о том, что семена IPS нельзя бросать в неподготовленную почву.
Подобные решения должны стать еще одним элементом сетевых инфраструктур, которые в любой момент могут оказаться под угрозой перегрузки.
Рост затрат на распознавание вторжений неизбежен. Проведенный META Group анализ ближайших инвестиционных планов компаний из числа Global 2000 показал наличие высокой заинтересованности в закупках сетевых и хостовых систем распознавания вторжений. Во многих организациях в долгосрочных планах числятся также консоли централизованного управления информацией о безопасности. Как отмечают в META Group, для директоров по безопасности не стал неожиданностью переход производителей от выпуска систем распознавания вторжений к системам их предотвращения. По прогнозу Meta Group, разница между двумя этими весьма родственными технологиями исчезнет в течение двух лет. Ведь количество «дыр» обнаруженных в программном обеспечении, с 1998 года выросло более чем в 15 раз.
| |
Год | Количество «дыр» |
1998 | 262 |
1999 | 417 |
2000 | 1090 |
2001 | 2437 |
2002 | 4129 |
|
|
«Разработчики IPS уже перешли рубикон, однако использование таких решений по-прежнему сопряжено с риском, - подчеркнул Хейшн. – их сложность и сама природа IPS-решений таят в себе потенциальную опасность. Внося в сетевую среду еще один источник ошибок (устройство, которому уже не отводится пассивная роль), вы тем самым снижаете общую устойчивость всей среды».
У разработчиков систем IPS практически нет времени на устранение недостатков и вывод своих продуктов на достаточно зрелый уровень. Но то же самое можно сказать и об авторах проектов IDS.
«Сложность заключается в том, что в данный момент отрасль не предлагает интегрированных корпоративных решений,- пояснил Хейшн. – Есть отдельные наращиваемые модули, предназначенные для решения частных задач. Каждый из них стоит денег. Естественно, это порождает вопросы. Мы не сможем пройти целиком долгий и тернистый путь с неполноценными продуктами».
Системы IDS оказались в еще более сложном положении. Как заметил Пескаторе, решения IPS преподносятся сегодня по сути как «лекарство от всех болезней». Производители, ориентированные на IDS, зачастую принимают эти маркетинговые ходы за чистую монету, и в результате им не удается преодолеть трудности, связанные с IDS. Понятно, что количество ложных срабатываний нужно уменьшать, но не за счет установке барьеров на пути прохождения легитимного трафика. Нужен тщательный подбор алгоритмов, сигнатур, устойчивых средств анализа протоколов в сочетании с методологиями, зависящими от окружающей обстановки, и корреляции всех этих механизмов с другими технологиями, обеспечивающими управление сетями. Но подобные комбинации, что интересно, чаще всего встречаются как раз в системах IPS.
«На наш взгляд, к концу следующего года, технология IPS окажет реальное воздействие на рынок межсетевых экранов и систем IDS, - заметил Пескаторе. – К этому моменту сюда устремится Cisco, возможно, CheckPoint, а вступление в борьбу компаний типа Nortel, F5 Networks, возможно, даже Nokia будет ознаменовано выпуском высококлассных многогигабитных продуктов, предназначенных для телекоммуникационных операторов. В свою очередь, поставщики систем IDS должны внимательно следить за восхождением IPS, интегрируя свои предложения в схемы межсетевых экранов. Дни тех, кто не примет концепцию IPS, окажутся сочтены».
Хейшн также рассматривает межсетевые экраны, системы IDS и IPS в качестве важнейших компонентов реализации стратегии информационной безопасности. Полный отказ от концепции IDS при отсутствии очень хорошего межсетевого экрана – порочная идея, считает он. Однако преимущества IPS говорят о том, что роль IDS в корпоративной среде изменится.
«Допустим, компании выходят в свет с IPS, но будет ли это заменой межсетевому экрану? – задается вопросом Хейшн. – Мой ответ категорически отрицательный. Межсетевые экраны проектируются, создаются и настраиваются, с тем чтобы обеспечить фильтрацию, экранирование и контроль доступа, а IPS и IDS – нет».
«Сегодня мы предлагаем определенный уровень контроля над действиями IPS. Клиенты могут сами блокировать трафик, а наши партнеры разрабатывают интерфейсы для взаимодействия с устройствами семейства BIG-IP. На базе подобных решений вполне можно реализовать контроль над функционированием IPS», - отметил директор F5 Networks по управлению продуктами Эрик Гиза.
После покупки в начале текущего года компании Okena большую активность в отношении IPS стала проявлять и корпорация Cisco Systems. В состав Cisco Systems также вошла компания Psionic Software (сделка по ее приобретению была завершена в декабре 2002 года), что было расценено аналитиками как намерение в первую очередь ускорить создание новых решений по обработке ложных срабатываний. Частично это подтвердилось недавним анонсом IDS-модулей для коммутаторов Catalyst (в частности, для устройств серии Catalyst 6500).
|
|
«Наши клиенты не раз заявляли, что понимают всю важность проведения мероприятий по предотвращению вторжений. Однако в большинстве своем они по-прежнему не доверяют технологии, которая работает автономно, то есть независимо от человека, и сама принимает решения в отношении сетевого трафика», - заявил менеджер Cisco Джон Макфарлэнд.
Преимущества IPS очевидны, но для доказательства их силы в противодействии угрозам безопасности, возникающим в реальном мире, нужны объективные испытания. Уже сегодня технологии IPS реализуются на практике в устройствах и решениях, действующих автономно и способных самостоятельно принимать решения. Однако по тому, что делают и как ведут себя сейчас поставщики систем IDS (а ведут они себя совершенно иначе по сравнению с тем, что мы видели раньше), можно сделать вывод: будущее IPS лежит в области не изолированных, а интегрированных решений, будь то сочетание с IDS, межсетевыми экранами или какими-то иными компонентами сетевой инфраструктуры. «От систем IPS сегодня требуется присутствие в сети, умение принимать решения и воздействовать на прохождение пакетов – все эти функции сетевого устройства, - подчеркнул Макфарлэнд. – IPS – не одноразовый трюк. Это решение должно действительно быть всеобъемлющим».
IPS в России.
В России продукты IPS появились недавно и сейчас у всех поставщиков их продано по нескольку экземпляров. В основном это продажи IPS в составе других продуктов: межсетевых экранов или IDS. Так, компания NetWell, объявившая прошедшим летом о начале поставок устройств NetScreen, продает их в составе корпоративной сети и уже имеет шесть проектов с их использованием. По оценкам Дмитрия Коваля, генерального директора NetWell, затраты на устройства IPS/IDS составляют не более 10% общей стоимости проекта. Для предустановленных систем IPS цена одного устройства находится в диапазоне от 7 до 10 тыс. долл. Программное решение CheckPoint Applications Intelligence поставляется в составе межсетевого экрана и отдельно не продается (только через модификацию старых версий).
|
|
Впрочем, по словам Алексея Лукацкого, заместителя директора по маркетингу компании «Информзащита», пока тяжело убедить российских пользователей на покупку устройств защиты, отличных от уже известных продуктов – антивирусов и межсетевых экранов.
«Российские компании уже несколько лет внедряют не только межсетевые экраны и антивирусное программное обеспечение, но и системы обнаружения вторжений, системы анализа содержимого Web-трафика и электронной почты, - отметил Николай Петров из компании «Эрнст энд Янг». – Однако, как показывает практика, очень часто предложенные решения не соответствуют потребностям клиентов в полной мере, они или плохо стыкуются с тем, что уже есть, или плохо расширяются для дополнительных нужд в дальнейшем, или не учитывают специфики бизнеса клиента».
Возможно, недоверие к IPS в России связано со сложностью новой технологии. Так по словам Лукацкого у потенциальных клиентов еще остаются сомнения в жизнеспособности технологии IPS. Например, Виталий Чивиков, разработчик программных средств защиты информации концерна «Системпром», считает, что средства защиты, такие как IPS, при их неправильной настройке легко можно использовать для реализации DoS-атаки. В общем, пока отношение к IPS, как и к любой новой технологии, осторожное, поскольку еще не понятно, чем они отличаются от межсетевых экранов и классических IDS, а также насколько они надежны.