IPS (Intrusion Prevention System) bir təhlükəsizlik texnologiyasıdır ki, şəbəkə trafikinə nəzarət edir və şübhəli fəaliyyətləri aşkar edərək potensial təhlükəsizlik təhdidlərini avtomatik olaraq bloklayır. IPS şəbəkəni və sistemləri müxtəlif hücumlara qarşı qorumaq məqsədi daşıyır.
Firewall kimi, IPS-lər də biznesinizin daxili şəbəkəsi ilə internet arasında maneə rolunu oynayır. İstər e-poçt əlavəsini endirirsiniz, istərsə də veb-sayta baxırsınız, biznesinizin daxili şəbəkəsi internetdən gələn xarici trafikə məruz qalır. IPS ilə siz biznesinizin şəbəkəsinin xarici təhlükələrdən təhlükəsiz olduğuna əmin ola bilərsiniz.
IPS-in dörd əsas növü var, bunlara:
Şəbəkə əsaslı
WI-FI
Şəbəkə davranışının təhlili
host əsaslıdır
IPS necə işləyir?
Əksər IPS həlləri təhlükəsizlik duvarının arxasında yerləşir, lakin IPS növü olan HIPS (Host əsaslı IPS) son nöqtələrdə yerləşir. IPS mexanizmi aşağıdakı kimi işləyir.
O, şəbəkə trafikini skan edir və təhlil edir və paket axınına nəzarət edir.
- Şübhəli fəaliyyətləri aşkar edir.
- İT komandalarına xəbərdarlıqlar göndərir.
- Zərərli paketləri buraxır.
- Trafikə mane olur.
- Əlaqələri sıfırlayır.
IPS növləri hansılardır?
Şəbəkə paketlərini skan edərək, IPS nəinki aşkarlayır, həm də zərərli fəaliyyətin qarşısını alır. Aşağıda funksiyalarına görə IPS növlərini tapa bilərsiniz:
1. Host əsaslı IPS
Host əsaslı IPS tək hostda işləyir və daxili şəbəkədə zərərli fəaliyyətin olmamasını təmin edir. Anormal yenilənmələrinə malik hər hansı fəaliyyət aşkar edilərsə, host əsaslı IPS onu aşkar edir.
O, həmçinin bu fəaliyyət haqqında ətraflı məlumat əldə etmək üçün şəbəkəni skan edir. Bu IPS bütün şəbəkədə işləmir və yerləşdirildiyi bir hostda işləyir.
2. WIFI IPS
Bu tip IPS wi-fi şəbəkədə işləyir. O, wi-fi şəbəkəyə nəzarət edir və orada baş verən bütün fəaliyyətləri yoxlayır.
Zərərli imza ilə fəaliyyət aşkar edilərsə, onun şəbəkəyə daxil olmasını bloklayır. Bu, bu günlərdə ən çox istifadə edilən IPS-dir, çünki əksər bağlantılar indi wi-fi.
3. Network-based IPS
Zərərli fəaliyyətlərin qarşısını almaq üçün şəbəkədə yerləşdirilir. Şəbəkəyə əsaslanan IPS bütün şəbəkəyə nəzarət edir.
IPS zərərli fəaliyyəti necə aşkar edir?
Kiberhücumları dəqiq aşkar etmək üçün IPS-in tətbiq edə biləcəyi iki üsul var:
1. İmza əsaslı aşkarlama
IPS paket axınlarını CVE lüğəti və məlum nümunələrlə müqayisə edir. Nümunə uyğunluğu olduqda, IPS avtomatik olaraq paketləri xəbərdar edir və bloklayır. Lüğətə xüsusi istismar nümunələri və ya məlum zəifliklərin variantlarına dair bilikli təxminlər daxil ola bilər.
2. Anomaliya əsaslı aşkarlama
IPS potensial təhlükələri məlum və təsdiqlənmiş baza ilə müqayisə etməklə və anomaliyalar zamanı xəbərdarlıq etməklə müəyyən etmək üçün evristik üsullardan istifadə edir.
IDS nədir?
IDS, şübhəli fəaliyyət əlamətləri üçün şəbəkədə trafikə nəzarət edən proqram və ya aparat əsaslı kibertəhlükəsizlik alətidir. Yerləşdirildikdə, kiberhücum əlamətləri aşkarlamaq üçün şəbəkəsindəki trafiki davamlı olaraq skan edir. IDS potensial kiber təhlükələri axtarmaq üçün şəbəkə trafikinə nəzarət edir.
IDS-lər şəbəkə trafikini məlum kibertəhlükələrin verilənlər bazasına çarpaz istinad etməklə işləyir. IDS biznesinizin şəbəkəsində kiber təhlükə aşkar edərsə, o, hadisəni qeyd edir ki, siz əlavə araşdırma apara və ya müvafiq tədbir görə biləsiniz.
IDS necə işləyir?
IDS şəbəkədəki bütün cihazlardan gələn və gedən trafikə nəzarət edir. Sistem zərərli paketlər üçün ikinci dərəcəli filtr kimi firewall arxasında işləyir, ilk növbədə iki şübhəli ipucu axtarır:
- Məlum hücumların imzaları.
- Daimi fəaliyyətdən sapmalar.
Xaker hücumunun aşkarlanması sistemi adətən təhdidləri müəyyən etmək üçün nümunə korrelyasiyasına əsaslanır. Bu üsul IDS-ə şəbəkə paketlərini məlum kiberhücumların imzalarını ehtiva edən verilənlər bazası ilə müqayisə etməyə imkan verir. IDS-nin nümunə korrelyasiyası ilə qeyd edə biləcəyi ən çox yayılmış hücumlar aşağıdakılardır:
- Zərərli proqramlar (ransomware, troyanlar, viruslar, botlar və s.).
- Açıq və ya qapalı portlar, icazə verilən trafik növləri, aktiv hostlar və proqram versiyaları haqqında məlumat toplamaq üçün şəbəkəyə paketlər göndərən hücumların skan edilməsi.
- Zərərli paket göndərən və müxtəlif giriş və çıxış yolları ilə təhlükəsizlik yoxlamalarından yan keçən asimmetrik yönləndirmə.
- Verilənlər bazası məzmununu zərərli icra edilə bilənlərlə əvəz edən bufer daşqın hücumları.
- Müəyyən bir protokolu (ICMP, TCP, ARP və s.) hədəf alan protokola xas hücumlar.
- DDoS hücumu kimi şəbəkəni həddindən artıq yükləyən trafik daşqınlarının pozulması.
IDS anomaliya aşkar etdikdə sistem problemi kimi qeyd edir və həyəcan siqnalı verir. Xəbərdarlıq audit jurnalındakı sadə qeyddən İT administratoruna göndərilən təcili mesaja qədər dəyişə bilər. Komanda daha sonra problemi aradan qaldırır və problemin kök səbəbini müəyyənləşdirir.
IDS növləri hansılardır?
Aşağıda siz IDS-nin dörd əsas növünü tapa bilərsiniz:
1. Şəbəkə IDS (NIDS)
Bu müstəqil proqram şəbəkə trafikini yoxlayır, hostlara nəzarət edir və sonra müdaxilələri müəyyən edir. NIDS şəbəkə keçidinə və ya şəbəkə mərkəzinə qoşulur və sonra şəbəkə trafikinə çıxış əldə edir.
Trafikə nəzarət etmək üçün şəbəkənin tıxac nöqtəsində yerləşdirilən sensorlar var. Bu sensorlar hər hansı zərərli trafik üçün şəbəkənin fərdi paketlərini təhlil edir.
2. Host əsaslı IDS (HIDS)
Burada hostun proqram qeydlərini, sistem zənglərini və hostun digər fəaliyyətlərini izləyən və müdaxilələri müəyyən edən agenti var. Bu IDS-dəki sensorlar proqram agentinə malikdir.
3. Protokol əsaslı IDS (PIDS)
Şirkətlər və qrumlar serverinqarşısında Protokola əsaslanan müdaxilənin aşkarlanması sistemini quraşdırır. Server və istifadəçi arasında protokolları yoxlayır PIDS internetin təhlükəsizliyini təmin etmək üçün müntəzəm olaraq HTTPS serverinə nəzarət edir. Eynilə, protokolla əlaqəli HTTP serverinə imkan verir.
4. VM Əsaslı IDS (VMİDS)
Virtual maşından istifadə edərək monitorinqi təmin edir. İstifadə edərkən ayrıca IDS-ə ehtiyacınız yoxdur, çünki o, bütün fəaliyyətlərə nəzarət edə bilər.
PS vs. IDS fərqləri
IPS və IDS arasındakı əsas fərq, birinin monitorinq, digərinin isə idarə etməsidir. IDS sistemləri paketləri dəyişdirmir. O, sadəcə olaraq paketləri skan edir və onları məlum təhlükələrin verilənlər bazası ilə müqayisə edir. IPS sistemləri isə paketin şəbəkəyə daxil olmasının qarşısını alır.
IDS vs. IPS vs. Firewall
Bu 3 anlayış şəbəkənin çox vacib komponentləridir.
Trafiki filtir və bloklamaq kimi hərəkətləri yerinə yetirən müxtəlif növ firewalllar var.
Digər tərəfdən, IDS zərərli fəaliyyətləri aşkarlayır, IPS isə konfiqurasiya əsasında zərərli proqramı aşkarlayır və qarşısını alır.
Firewalldan istifadə edərkən bəzi qaydaları və onlara uyğun olaraq konfiqurasiya etməlisiniz; trafikin keçməsinə imkan verir. Konfiqurasiya edilmiş qaydalara uyğun gəlməyən trafikin keçməsinə icazə verilmir.
Firewall portlardan, mənbədən və təyinat ünvanlarından asılıdır.
IDS məlumat paketlərini izləyən və onları imza ilə müqayisə edən, sonra hər hansı şübhəli fəaliyyət barədə xəbərdarlıq edən passiv cihaz kimi işləyir.
IPS daxili rejimdə işləyir və hücumun qarşısını almaq üçün imza nümunələrinə uyğun gəlməyən məlumat paketlərini bloklayır.
Firewall trafiki port nömrəsi və IP ünvanına görə süzür, IDS və IPS isə real vaxt trafikini yoxlayır və trafik modellərini axtarır.
Sadə sözlə, firewall trafik nümunələrini təhlil etmir. Bu, ilk müdafiə xəttidir. IDS və IPS təhlükəsizlik duvarının yanındadır.
Xülasə olaraq deyə bilərik ki, IDS və IPS biznesinizi kibertəhlükələrdən qoruya bilən iki ümumi kibertəhlükəsizlik vasitəsidir. Hər ikisi məlum kibertəhlükələrin verilənlər bazasına qarşı şəbəkə trafikini yoxlayaraq işləyir. Bununla belə, yalnız IPS-lər kiber təhlükələri blok edə bilər. IDS-lər yalnız kiber təhdidləri müəyyən etmək üçün nəzərdə tutulsa da, IPS-lər kiber təhlükələri həm müəyyən etmək, həm də bloklamaq üçün nəzərdə tutulub. Bu incə nüansdan başqa, onlar demək olar ki, eynidirlər.
