Сетевые системы предотвращения вторжений (Intrusion Prevention System, IPS) - это подключенные к сетевому каналу устройства, служащие для выявления и блокировки широкого спектра атак. Однако, как показывают последние исследования, подобное оборудование пока чаще используется в качестве систем обнаружения вторжений для пассивного мониторинга трафика.
Специалисты Infonetics Research опросили 169 специалистов по вопросам безопасности, отвечающих в своих организациях за управление системами предотвращения вторжений. В первую очередь исследователей интересовал вопрос о том, действительно ли функциональность фильтров IPS в полной мере используется для блокирования атак и, если это не так, то каковы причины. В рамках исследования, проведенного по инициативе производителя IPS компании TippingPoint, рассматривались продукты самой TippingPoint, а также решения, предлагаемые Cisco, IBM, McAfee и Sourcefire.
"Многие по-прежнему относятся к IPS с настороженностью, - заметил Джефф Вилсон, ведущий аналитик компании Infonetics по вопросам сетевой безопасности. – Основное вывод состоит в том, что IPS все еще используются не в полной мере, несмотря на то что пользователи стремятся, чтобы это выглядело иначе".
Cisco остается ведущим производителем на рынке IPS, что и подтвердил опрос: 77 респондентов используют IPS-решения компании Cisco, 38 – продукты TippingPoint, 36 отдали предпочтение IBM ISS Proventia, 26 выбрали McAfee IPS, а 15 применяют Sourcefire IPS. Все участники исследования детально описали, как они используют системы предотвращения вторжений в своих компаниях. Речь идет о компаниях свыше 9 тыс. сотрудников.
Первый шаг при выборе IPS, как правило, – это решение о том, использовать такие системы внутри сети или нет. Согласно полученным данным, так поступают 91% пользователей TippingPoint, 70% пользователей Cisco, 67% пользователей IBM и McAfee и около 55% пользователей Sourcefire.
Пользователи отказываются применять IPS непосредственно в сетевом канале в основном потому, что сомневаются в их надежности, а также опасаются снижения пропускной способности, увеличения задержки при передаче трафика и ошибочных идентификаций атак.
Компании, решившие интегрировать IPS в сеть, после этого определяют, какое количество фильтров, позволяющих блокировать различные виды атак, следует активировать на устройстве. Опрос показал, что в компаниях, подключающих IPS к сети, часто не используют все фильтры в режиме блокировки, а иногда просто устанавливается режим уведомления. Фильтры IPS для блокировки значительно чаще применяют на оборудовании TippingPoint и IBM и намного реже в системах Sourcefire. Решения IBM, Cisco и McAfee в половине случаев используются в режиме блокировки и в половине – в режиме уведомления.
Согласно данным опроса, обновления фильтров, предоставляемые производителями, выполняют в 40 - 74% случаев, в зависимости от продукта.
На вопрос, почему пользователи с неохотой устанавливают новые фильтры, независимый аналитик Ричард Стиеннон, посмотрев результаты данного исследования, заметил, что пользователи IPS, как правило, анализируют обновления фильтров в лабораторных условиях, прежде чем их установить. "Иногда сигнатуры фильтров могут нарушать работу приложений или блокировать протоколы, - пояснил Стиеннон. – Тогда их не устанавливают".
Несколько лет назад Стиеннон, будучи аналитиком Gartner, спровоцировал жаркую дискуссию, заявив о бесперспективности IDS. И сейчас, просмотрев результаты исследования, он сказал, что этот опрос Infonetics дал ему стимул снова выступить с критикой.
"IDS не имеют никакой перспективы, это неудачная технология, - подчеркнул Стиеннон, утверждая, что простая регистрация уведомлений об атаках почти всегда бессмысленна. – Для блокировки атак должно шире использоваться оборудование IPS".
Он также заметил, что оборудование TippingPoint, в отличие от системы Cisco, изначально было предназначено для работы в сетевом канале. Джефф Вилсон также согласен с тем, что IPS-решения Cisco не были рассчитаны на такую установку и, несмотря на то что Cisco остается лидером этого рынка, ее платформа в целом реже всего используется как настоящая система предотвращения вторжений для блокировки трафика атак.
Несмотря на то что аналитик Gartner Джон Пескаторе не знаком с результатами опроса Infonetics, он сказал, что собственная работа Gartner с клиентами показывает: может уйти значительное время, может быть, даже целый год, чтобы пользователи убедились в необходимости устанавливать системы IPS в канале в режим блокировки.
"Почему я не использую их на 100%?, - удивляется он. – Да потому что это приводит к снижению производительности, они замедляют или даже могут полностью блокировать легитимный трафик".
Вопрос о производительности по-прежнему остается довольно острым, и его, как подчеркнул Пескаторе, необходимо в первую очередь решать специалистам отрасли IPS.