Systemy IPS stały się jedną z najważniejszych warstw zabezpieczeń w dzisiejszej infrastrukturze sieciowej. Mimo że jest to dojrzała technologia, producenci wciąż ją udoskonalają, wyposażając swoje produkty w najbardziej zaawansowane mechanizmy analityczne, jakie są dostępne. Dzięki temu możliwe jest wykrywanie i blokowanie szerokiego spektrum ataków przy jednoczesnym zapewnieniu wysokiej wydajności. Jednak krajobraz zagrożeń szybko się zmienia i systemy IPS muszą mierzyć się z coraz to nowymi, bardziej zaawansowanymi atakami.

Systemy IPS można podzielić na cztery kategorie. Pierwsza to systemy sieciowe, czyli NIPS (Network-based Intrusion Prevention System). Są to rozwiązania służące do monitorowania ruchu w całej sieci i wyszukiwania podejrzanej komunikacji. Podobne zadanie realizują systemy WIPS (Wireless Intrusion Prevention System), ale ich zadaniem jest zabezpieczanie sieci bezprzewodowych. Potrafią, m.in. wykrywać nieuprawnione punkty dostępowe.

Zobacz również:

• IPS, OLED, mini-LED czy QLED - jaka matryca do pracy?

Trzecia kategoria to rozwiązania NBA (Network Behavior Analysis), które analizują ruch sieciowy pod kątem wykrywania anomalii wskazujących na ataki, np. DDoS czy naruszenie zasad bezpieczeństwa obowiązujących w firmie. Ostatni typ to systemy HIPS (Host-based Intrusion Prevention System). Jest to oprogramowanie instalowane w komputerach i wykrywające podejrzane działania w pojedynczych maszynach.

Oszustwa i zainfekowane strony

Jednym z najważniejszych zagrożeń, z którym muszą się zmierzyć te zabezpieczenia, są strony zawierające szkodliwe oprogramowanie oraz te służące wyłudzaniu poufnych danych (phishing). Tego rodzaju zagrożenia stają się coraz bardziej zaawansowane i celują w wąskie grupy odbiorców, co zwiększa wiarygodność fałszywego przekazu. Dlatego systemy IPS powinny chronić zagrożonych użytkowników, jak również organizacje jako całość. Lata temu przed takimi zagrożeniem chroniły filtry antyspamowe i inne narzędzia od bezpieczeństwa poczty elektronicznej. Obecnie, przy rosnącej popularności mediów społecznościowych, takie sposoby ochrony przestały wystarczać.

Dlatego firmy muszą mieć możliwość stosowania najnowszych zabezpieczeń przed takimi atakami. Oprócz edukowania użytkowników w zakresie dobrych praktyk korzystania z Internetu, bardzo ważna jest rola systemu IPS, który może bardzo szczegółowo kontrolować dostęp do serwisów społecznościowych, które mogą być wykorzystywane do przeprowadzania ataków phishingowych. IPS może również blokować dostęp do stron, o których wiadomo, że zawierają szkodliwe oprogramowanie, jeśli użytkownik przypadkowo kliknie na prowadzący do takich stron odnośnik. Oszuści coraz częściej profilują ataki w taki sposób, żeby trafić do określonej, wąskiej grupy odbiorców (tzw. Spear Phishing). Do takich ataków często wybierają serwisy społecznościowe przeznaczone dla określonych grup zawodowych. Dlatego bardzo ważne jest kontrolowanie dostępu do takich serwisów.

Ataki na aplikacje webowe

W ostatnich latach ataki wykorzystujące luki w aplikacjach webowych stały się zmasowane. Okazuje się, że ok. 40-50% wszystkich wykrytych podatności znaleziono właśnie w aplikacjach webowych - liczba oszałamiająca biorąc pod uwagę tysiące luk ujawnianych co roku. Nowoczesne systemy IPS muszą radzić sobie z atakami w warstwie aplikacji, włączając w to monitorowanie i blokowania stanowiących poważne zagrożenie ataków typu SQL Injection oraz Cross-Site Scripting. W wielu przypadkach IPS może zostać użyty w powiązaniu z narzędziami Web Application Vulnerability Scanning (wykrywającymi podatności w aplikacjach webowych). W ten sposób można zapewnić ochronę w bardzo krótkim czasie po wykryciu określonej luki i udostępnieniu dla niej łatki.

Ataki ukryte w ruchu SSL

Ruch, którego nie da się monitorować, nie da się również zabezpieczyć. Biorąc pod uwagę rosnącą ilość transmisji szyfrowanej z wykorzystaniem SSL – szyfrowanie to stosują, m.in. Facebook i Twitter wykorzystywane w atakach typu Spear Phishing – system IPS musi mieć możliwość wglądu w szyfrowane sesje, aby wykrywać potencjalnie ukrywające się w nim zagrożenia. Może to być użytkownik próbujący przez szyfrowane połączenie SSL otworzyć zainfekowaną stronę (np. klikając w spreparowany lub skrócony odnośnik) lub zewnętrzny atak zainicjowany przez botnet, a wykorzystujący do maskowania szyfrowanie SSL. Ponieważ inspekcja szyfrowanych połączeń wymaga dużej wydajności, system IPS musi dysponować odpowiednią mocą obliczeniową, aby z jednej strony analizować ruch SSL, a z drugiej strony nie opóźniać komunikacji sieciowej.

Zaawansowane ataki APT

Ponieważ ataki stają się coraz bardziej zaawansowane, systemy IPS nie powinny już funkcjonować w oderwaniu od innych mechanizmów bezpieczeństwa. Nowoczesne rozwiązania IPS muszą się integrować z innymi zabezpieczeniami, aby pomóc administratorom w zrozumieniu zdarzeń, które zachodzą na bieżąco w sieci. Jednocześnie IPS powinien być wyposażony w funkcje eksportowania informacji nt. zdarzeń bezpieczeństwa i przepływu danych do narzędzi analitycznych, które potrafią je skorelować i wykryć anomalie wskazujące na atak. Dzięki temu można wykryć zagrożenia, które już zdążyły przeniknąć do firmy i ukrywają się w sieci lokalnej.