Бүгенге санлы чорда челтәр куркынычсызлыгы предприятиеләр һәм шәхесләр өчен мөһим мәсьәләгә әйләнде. Челтәр һөҗүмнәренең өзлексез үсеше белән традицион куркынычсызлык чаралары җитәрлек түгел булып китте. Бу контекстта, The Times таләп иткәнчә, бәреп керүне ачыклау системасы (IDS) һәм бәреп керүне булдырмау системасы (IPS) барлыкка килә һәм челтәр куркынычсызлыгы өлкәсендә ике төп сакчыга әйләнә. Алар охшаш булып күренергә мөмкин, ләкин функциональлеге һәм кулланылышы ягыннан алар бик нык аерылып тора. Бу мәкалә IDS һәм IPS арасындагы аермаларны тирәнтен тикшерә һәм челтәр куркынычсызлыгының бу ике сакчысын аңлата.
IDS: Челтәр куркынычсызлыгы скауты
1. IDS бәреп керүне ачыклау системасының (IDS) төп төшенчәләречелтәр трафигын күзәтү һәм потенциаль зарарлы эшчәнлекләрне яки бозуларны ачыклау өчен эшләнгән челтәр куркынычсызлыгы җайланмасы яки программа кушымтасы. Челтәр пакетларын, журнал файлларын һәм башка мәгълүматны анализлап, IDS гадәти булмаган трафикны ачыклый һәм администраторларга тиешле каршы чаралар күрү турында кисәтә. IDSны челтәрдәге һәр хәрәкәтне күзәтүче игътибарлы күзәтүче дип күз алдына китерегез. Челтәрдә шикле тәртип булганда, IDS беренче тапкыр ачыклый һәм кисәтү ясый, ләкин ул актив чаралар күрми. Аның эше - "проблемаларны табу", "аларны хәл итү" түгел.
2. IDS ничек эшли IDS ничек эшли, нигездә, түбәндәге ысулларга нигезләнә:
Имзаны ачыклау:IDS билгеле һөҗүмнәрнең имзаларын үз эченә алган зур имзалар базасына ия. Челтәр трафигы мәгълүматлар базасындагы имза белән туры килгәндә, IDS кисәтү җибәрә. Бу полициянең шиклеләрне ачыклау өчен бармак эзләре базасын куллануына охшаган, нәтиҗәле, ләкин билгеле мәгълүматка бәйле.
Аномалияне ачыклау:IDS челтәрнең гадәти эш итү үрнәкләрен өйрәнә һәм гадәти үрнәктән тайпылган трафикны тапкач, аны потенциаль куркыныч дип саный. Мәсәлән, әгәр хезмәткәрнең компьютеры төнлә кинәт зур күләмдә мәгълүмат җибәрсә, IDS аномаль эш итүне билгеләргә мөмкин. Бу районның көндәлек эшчәнлеге белән таныш булган һәм аномалияләр ачыкланганнан соң уяу булачак тәҗрибәле сакчыга охшаган.
Протокол анализы:IDS челтәр протоколларын тирәнтен анализлап, бозулар яки протокол куллануның гадәти булмаганлыгын ачыклаячак. Мәсәлән, билгеле бер пакетның протокол форматы стандартка туры килмәсә, IDS моны потенциаль һөҗүм дип саный ала.
3. Өстенлекләр һәм кимчелекләр
IDS өстенлекләре:
Реаль вакыт режимында күзәтү:IDS челтәр трафигын реаль вакыт режимында күзәтеп, куркынычсызлыкка куркынычларны вакытында таба ала. Йокысыз сакчы кебек, һәрвакыт челтәр иминлеген саклагыз.
Сыгылмалылык:IDS челтәрнең төрле урыннарында, мәсәлән, чикләрдә, эчке челтәрләрдә һ.б. урнаштырылырга мөмкин, бу төрле дәрәҗәдәге яклауны тәэмин итә. Тышкы һөҗүмме яки эчке куркынычмы, IDS аны ачыклый ала.
Вакыйгаларны теркәү:IDS үлгәннән соңгы анализ һәм криминалистика өчен челтәр эшчәнлегенең җентекле журналларын терки ала. Бу челтәрдәге һәр детальне теркәп баручы тугры язучы кебек.
IDS кимчелекләре:
Ялган уңай нәтиҗәләрнең югары күрсәткече:IDS имзаларга һәм аномалияләрне ачыклауга таянганлыктан, гадәти трафикны зарарлы эшчәнлек дип ялгыш бәяләргә мөмкин, бу ялган уңай нәтиҗәләргә китерергә мөмкин. Мәсәлән, артык сизгер сакчы, ул китерүчене карак дип ялгышырга мөмкин.
Проактив рәвештә яклап булмый:IDS бары тик кисәтүләрне генә ачыклый һәм җибәрә ала, ләкин зарарлы трафикны алдан блоклый алмый. Проблема табылганнан соң, администраторларның кул белән катнашуы да кирәк, бу озак җавап бирү вакытына китерергә мөмкин.
Ресурсларны куллану:IDS зур күләмдәге челтәр трафигын анализларга тиеш, бу, бигрәк тә югары трафиклы мохиттә, күп система ресурсларын биләргә мөмкин.
IPS: Челтәр куркынычсызлыгының "Яклаучысы"
1. IPS керүне булдырмау системасының (IPS) төп концепциясеIDS нигезендә эшләнгән челтәр куркынычсызлыгы җайланмасы яки программа кушымтасы. Ул зарарлы эшчәнлекне ачыклап кына калмый, ә аларны реаль вакыт режимында булдырмый һәм челтәрне һөҗүмнәрдән саклый ала. Әгәр IDS разведкачы булса, IPS - батыр сакчы. Ул дошманны ачыклап кына калмый, ә дошманның һөҗүмен туктату өчен инициатива да күрсәтә ала. IPS максаты - реаль вакыт режимында катнашу аша челтәр куркынычсызлыгын саклау өчен "проблемаларны табу һәм аларны төзәтү".
2. IPS ничек эшли
IDS детектор функциясенә нигезләнеп, IPS түбәндәге саклану механизмын өсти:
Юл хәрәкәтен тыю:IPS зарарлы трафикны ачыклагач, ул бу трафикны челтәргә керүдән саклау өчен шунда ук блоклый ала. Мәсәлән, билгеле бер зәгыйфьлекне файдаланырга тырышучы пакет табылса, IPS аны ташлап кына җибәрә.
Сессия тәмамланды:IPS зарарлы хост арасындагы сессияне туктата һәм һөҗүмченең тоташуын өзә ала. Мәсәлән, әгәр IPS IP адресында bruteforce һөҗүме башкарылуын ачыкласа, ул шул IP белән элемтәне өзәчәк.
Эчтәлекне фильтрлау:IPS зарарлы код яки мәгълүмат тапшыруны блоклау өчен челтәр трафигында контентны фильтрлауны башкара ала. Мәсәлән, электрон почта кушымтасында зарарлы программа тәэминаты булуы ачыкланса, IPS бу электрон почта тапшыруын блоклаячак.
IPS ишек сакчысы кебек эшли, шикле кешеләрне генә түгел, ә аларны кире кага да. Ул тиз җавап бирә һәм куркынычларны алар таралганчы ук юкка чыгара ала.
3. IPS-ның өстенлекләре һәм кимчелекләре
IPS өстенлекләре:
Проактив саклану:IPS реаль вакыт режимында зарарлы трафикны булдырмый һәм челтәр иминлеген нәтиҗәле рәвештә саклый ала. Бу дошманнар якынлашканчы аларны кире кага алырлык яхшы өйрәтелгән сакчы кебек.
Автоматик җавап:IPS алдан билгеләнгән саклану сәясәтләрен автоматик рәвештә башкара ала, администраторларга йөкләнешне киметә. Мәсәлән, DDoS һөҗүме ачыкланганда, IPS бәйле трафикны автоматик рәвештә чикли ала.
Тирән саклау:IPS тирәнрәк яклау дәрәҗәсен тәэмин итү өчен брандмауэрлар, куркынычсызлык шлюзлары һәм башка җайланмалар белән эшли ала. Ул челтәр чиген генә түгел, ә эчке мөһим активларны да саклый.
IPS кимчелекләре:
Ялган блоклау куркынычы:IPS гадәти трафикны ялгыш блокларга мөмкин, бу челтәрнең гадәти эшләвенә тәэсир итә. Мәсәлән, законлы трафик зыянлы дип ялгыш классификацияләнсә, бу хезмәтнең өзелүенә китерергә мөмкин.
Нәтиҗәлелеккә йогынты:IPS челтәр трафигын реаль вакытта анализлау һәм эшкәртүне таләп итә, бу челтәр эшчәнлегенә бераз йогынты ясарга мөмкин. Аеруча югары трафиклы мохиттә, бу тоткарлануның артуына китерергә мөмкин.
Катлаулы конфигурация:IPS конфигурациясе һәм хезмәт күрсәтү чагыштырмача катлаулы һәм профессиональ персонал белән идарә итүне таләп итә. Әгәр ул дөрес конфигурацияләнмәгән булса, бу начар саклану эффектына китерергә яки ялган блоклау проблемасын тагын да катлауландырырга мөмкин.
IDS һәм IPS арасындагы аерма
IDS һәм IPS исемнәрендә бер генә сүз аермасы булса да, аларның функциясендә һәм кулланылышында мөһим аермалар бар. IDS һәм IPS арасындагы төп аермалар:
1. Функциональ позицияләү
IDS: Ул, нигездә, челтәрдәге куркынычсызлыкка куркынычларны күзәтү һәм ачыклау өчен кулланыла, бу пассив саклануга карый. Ул разведка кебек эшли, дошман күргәндә сигнал бирә, ләкин һөҗүм итү өчен инициатива күрсәтми.
IPS: IDSка актив саклану функциясе өстәлгән, ул реаль вакыт режимында зарарлы трафикны блоклый ала. Ул сакчы кебек, дошманны ачыклап кына калмый, ә аны читтә тота да ала.
2. Җавап бирү стиле
IDS: Куркыныч ачыкланганнан соң кисәтүләр бирелә, бу администраторның кул белән катнашуын таләп итә. Бу сакчының дошманны күреп, күрсәтмәләр көтеп, җитәкчеләренә хәбәр итүе кебек.
IPS: Саклану стратегияләре кеше катнашуыннан башка куркыныч ачыкланганнан соң автоматик рәвештә башкарыла. Бу дошманны күреп, аны кире каккан сакчы кебек.
3. Урнаштыру урыннары
IDS: Гадәттә челтәрне әйләнеп узу урынында урнаштырыла һәм челтәр трафигына турыдан-туры тәэсир итми. Аның роле - күзәтү һәм теркәү, һәм ул гадәти аралашуга комачауламаячак.
IPS: Гадәттә челтәрнең онлайн урнашу урынында урнаштырыла, ул челтәр трафигын турыдан-туры эшкәртә. Ул реаль вакытта анализлауны һәм трафикны тикшерүне таләп итә, шуңа күрә ул югары җитештерүчәнлеккә ия.
4. Ялган сигнал/ялган блоклау куркынычы
IDS: Ялган позитивлар челтәр эшчәнлегенә турыдан-туры тәэсир итми, ләкин администраторларга кыенлыклар тудырырга мөмкин. Артык сизгер сакчы кебек, сез еш кына сигналлар бирергә һәм эш күләмен арттырырга мөмкин.
IPS: Ялган блоклау гадәти хезмәт күрсәтүнең өзелүенә китерергә һәм челтәрнең эшләвенә тәэсир итәргә мөмкин. Бу артык агрессив һәм дус гаскәрләргә зыян китерә алган сакчыга охшаган.
5. Куллану очраклары
IDS: Куркынычсызлык аудиты, инцидентларга җавап бирү һ.б. кебек челтәр эшчәнлеген тирәнтен анализлау һәм күзәтүне таләп итә торган сценарийлар өчен яраклы. Мәсәлән, предприятие хезмәткәрләрнең онлайн тәртибен күзәтү һәм мәгълүматларның бозылуын ачыклау өчен IDS куллана ала.
IPS: Ул челтәрне реаль вакыт режимында һөҗүмнәрдән сакларга тиешле сценарийлар өчен яраклы, мәсәлән, чикләрне саклау, мөһим хезмәтләрне яклау һ.б. Мәсәлән, предприятие тышкы һөҗүмчеләрнең үз челтәренә бәреп керүен булдырмас өчен IPS куллана ала.
IDS һәм IPS-ның гамәли кулланылышы
IDS һәм IPS арасындагы аерманы яхшырак аңлау өчен, без түбәндәге гамәли куллану сценарийын күрсәтә алабыз:
1. Корпоратив челтәр куркынычсызлыгын яклау Корпоратив челтәрдә IDS хезмәткәрләрнең онлайн тәртибен күзәтү һәм законсыз керү яки мәгълүмат агып чыгу очракларын ачыклау өчен эчке челтәрдә урнаштырылырга мөмкин. Мәсәлән, хезмәткәрнең компьютерында зарарлы сайтка керү ачыкланса, IDS кисәтү җибәрәчәк һәм администраторга тикшерү үткәрергә кушачак.
Икенче яктан, IPS тышкы һөҗүмчеләрнең предприятие челтәренә бәреп керүен булдырмас өчен челтәр чигендә урнаштырылырга мөмкин. Мәсәлән, әгәр IP адресы SQL инъекциясе һөҗүме астында икәне ачыкланса, IPS предприятие мәгълүмат базасының иминлеген саклау өчен IP трафигын турыдан-туры блоклаячак.
2. Мәгълүмат үзәгенең куркынычсызлыгы Мәгълүмат үзәкләрендә IDS серверлар арасындагы трафикны күзәтү өчен кулланыла ала, бу гадәти булмаган элемтә яки зарарлы программа тәэминаты булуын ачыклау өчен кулланыла ала. Мәсәлән, әгәр сервер тышкы дөньяга күп күләмдә шикле мәгълүмат җибәрсә, IDS гадәти булмаган тәртипне билгели һәм администраторга аны тикшерү турында хәбәр итә.
Икенче яктан, IPS мәгълүмат үзәкләренең керү юлында DDoS һөҗүмнәрен, SQL инъекциясен һәм башка зарарлы трафикны блоклау өчен урнаштырылырга мөмкин. Мәсәлән, әгәр без DDoS һөҗүменең мәгълүмат үзәген җимерергә тырышуын ачыкласак, IPS хезмәтнең нормаль эшләвен тәэмин итү өчен бәйле трафикны автоматик рәвештә чикли.
3. Болыт куркынычсызлыгы Болыт мохитендә IDS болыт хезмәтләрен куллануны күзәтү һәм ресурсларга рөхсәтсез керү яки дөрес кулланмау очракларын ачыклау өчен кулланылырга мөмкин. Мәсәлән, кулланучы рөхсәтсез болыт ресурсларына керүгә тырышса, IDS кисәтү җибәрәчәк һәм администраторга чаралар күрү турында хәбәр итәчәк.
Икенче яктан, IPS болыт челтәренең читендә болыт хезмәтләрен тышкы һөҗүмнәрдән саклау өчен урнаштырылырга мөмкин. Мәсәлән, әгәр IP-адрес болыт хезмәтенә көчле һөҗүм башлау өчен ачыкланса, IPS болыт хезмәтенең иминлеген саклау өчен IP-дан турыдан-туры аерылачак.
IDS һәм IPS бергәләп куллану
Гамәлдә, IDS һәм IPS аерым яшәми, ләкин челтәр куркынычсызлыгын тулырак яклау өчен бергә эшли ала. Мәсәлән:
IDS IPSка өстәмә буларак:IDS трафикны тирәнрәк анализлау һәм вакыйгаларны теркәүне тәэмин итә ала, бу IPSка куркынычларны яхшырак ачыкларга һәм блокларга ярдәм итә. Мәсәлән, IDS озак вакытлы мониторинг аша яшерен һөҗүм үрнәкләрен ачыклый ала, аннары бу мәгълүматны IPSка үзенең саклану стратегиясен оптимальләштерү өчен кире җибәрә ала.
IPS IDS башкаручысы буларак эшли:IDS куркынычны ачыклаганнан соң, ул IPSны автоматик җавапка ирешү өчен тиешле саклану стратегиясен башкарырга этәрә ала. Мәсәлән, әгәр IDS IP адресының зарарлы рәвештә сканерлануын ачыкласа, ул IPSка шул IP адресыннан турыдан-туры трафикны блоклау турында хәбәр итә ала.
IDS һәм IPSны берләштерү аша, предприятиеләр һәм оешмалар төрле челтәр куркынычларына нәтиҗәле каршы тору өчен тагын да ныграк челтәр куркынычсызлыгын саклау системасын төзи алалар. IDS проблеманы табу өчен, IPS проблеманы чишү өчен җаваплы, икесе бер-берсен тулыландыра, берсе дә аерылгысыз түгел.
Дөресен табыгызЧелтәр пакет брокерыIDS (Бөгенүне ачыклау системасы) белән эшләү өчен
Дөресен табыгызСызык эчендәге әйләнеп узу клапаныIPS (Бөгенүләрне булдырмау системасы) белән эшләү өчен
Бастырып чыгару вакыты: 2025 елның 23 апреле
