IPS czy antywirus?
- 24.03.2009
Przedstawiamy słabe i mocne strony obu najważniejszych elementów ochrony sieci firmowej.
Specjaliści zajmujący się bezpieczeństwem sieci korporacyjnych od dawna biją na alarm, wskazując na słabości infrastruktury IT przedsiębiorstw. Jednym z rozwiązań są pakiety oprogramowania chroniącego stację roboczą, zawierające moduł antywirusowy, zaporę sieciową, antyspyware oraz kontrolę uruchamianego kodu. Tego typu narzędzia, jakkolwiek są skuteczne w starciu ze złośliwym kodem, nie potrafią ochronić stacji roboczej przed atakiem z zewnątrz, bazującym na wykorzystaniu niezałatanej luki w bezpieczeństwie wrażliwego systemu Windows.
Urządzenia IPS (Intrusion Prevention System) są najczęściej instalowane na styku sieci z Internetem, umożliwiając ochronę sieci LAN przed atakami z zewnątrz, a także przed próbami przełamania bezpieczeństwa zapory sieciowej od środka. W ten sposób można znacząco zmniejszyć ryzyko działania spyware w firmie, gdyż nowoczesne IPS-y wykrywają ruch pomiędzy zarażonymi stacjami roboczymi a Internetem. Warto przyjrzeć się typowym atakom, na które są narażone firmy.
Atak dnia zerowego
IPS może być mocnym narzędziem obrony przed atakami dnia zerowego, wykorzystującymi znane już luki w bezpieczeństwie (najczęściej systemu Windows lub aplikacji Microsoft Office czy Adobe Reader). Atak dnia zerowego korzysta z tego, że systemy nie zostały zaktualizowane i są podatne na powszechnie znane ataki. Niektóre z tych luk pozostają niezałatane przez producenta przez bardzo długi czas (czasami nawet rzędu miesięcy), sam proces wdrażania aktualizacji jest pracochłonny, wymaga dokładnych sprawdzeń w środowisku testowym.
Tymczasem aktualizacja baz systemów IPS jest szybka i odbywa się znacznie częściej. To samo dotyczy oprogramowania antywirusowego. IPS będzie miał szansę zablokować atak, zanim kod dotrze do stacji roboczej lub serwera, chroniąc w ten sposób system. Oprogramowanie antywirusowe nie zawsze zadziała przed atakiem, często informuje już po fakcie i próbuje przeciwdziałać skutkom.
Ochrona firmowego serwera usługowego
Wiele z IPS-ów posiada narzędzia chroniące serwery usługowe firmy przed atakami odmowy obsługi. Niektóre z nich (np. McAfee Network Security Platform) posiadają specjalizowany motor, który analizuje ruch i potrafi wychwycić radykalną zmianę w rozłożeniu obciążenia na adresy IP, świadczącą o dystrybuowanym ataku odmowy obsługi (DDoS). Inne IPS-y mają opcje ustawienia twardych limitów obciążenia serwera, zabezpieczając systemy przed przeciążeniem w przypadku nawału zapytań. Nie zawsze zapewni to ochronę przed takimi atakami, ale umożliwi pewne ograniczenie ich skutków.