Chyba najistotniejszy dla przyszłości IPS jest rozwój mechanizmów odpowiedzialnych za określanie kontekstu dla zdarzeń w sieci. Kolejna generacja IPS jest rozwijana przy założeniu, że informacje o chronionej sieci są aktualizowane w sposób ciągły. System buduje mapę środowiska, które chroni, a następnie używa tej mapy do przekazywania informacji do rozwiązania IPS. To pozwala określić ważność poszczególnych zdarzeń dla danej sieci i w danym punkcie w czasie. Tego rodzaju kontekst może być również przydatny w ocenie ryzyka zagrażającego brzegowi sieci.

Sztuczna inteligencja

Mimo rozwijania systemów IPS od 20 lat, dzisiaj wciąż wyzwaniem pozostaje wykrywanie i klasyfikacja znanych oraz nieznanych wrogich działań w sieci. Stosowane metody, jak porównywanie wzorców zachowania (wykrywanie anomalii) czy porównywanie sygnatur nie są obecnie wystarczająco skuteczne, a liczba ataków stale rośnie. Prowadzone prace badawcze nad rozwiązaniami IPS pokazują, że skuteczne jest inne podejście do wykrywania anomalii oraz porównywania sygnatur, i to nawet bez interakcji i nadzorowania tych procesów przez administratorów.

Zobacz również:

• IPS, OLED, mini-LED czy QLED - jaka matryca do pracy?

Okazuje się, że sztuczna inteligencja pod postacią sieci neuronowej (Artificial Neural Networks, ANN) nadaje się do budowania ogólnych wzorców i identyfikowania charakterystycznych cech ataków w sytuacjach, kiedy reguły nie są znane. Sieć neuronowa może się dostosować do pewnych ograniczeń, poznać charakterystyczne cechy systemu, rozpoznawać wzorce i porównać ostatnie działania użytkownika do wzorca standardowego zachowania. To umożliwia rozwiązanie wielu problemów nawet bez interwencji człowieka. Potencjalnie ta technologia umożliwi wykrywanie prób nadużyć i poprawi rozpoznawanie podejrzanych zdarzeń. Sieć neuronowa jest w stanie wykryć każde wystąpienie możliwego nadużycia, umożliwiając administratorom ochronę całej organizacji poprzez zwiększenie odporności na zagrożenia.

Funkcje sztucznej inteligencji umożliwiają systemom IPS wykrywanie znanych i przyszłych włamań przy jednoczesnym ograniczeniu liczby fałszywych alarmów. Nowe techniki ANN stosowane w IPS’ach poprawiają również techniki uczenia się systemów wykrywających intruzów, aby potrafiły wykrywać nowe wzorce, rozwiązywać problemy i diagnozować błędy.

Obecnie jest duże zainteresowanie budowaniem szybkich, niezawodnych i skalowalnych sieci neuronowych na bazie urządzeń IPS. Powstająca w ten sposób sztuczna inteligencja jest w stanie wykrywać złożone właściwości, które są zbyt skomplikowane do rozpoznania przez człowieka czy inne narzędzia informatyczne. AI jest używana do klasyfikowania wzorów zachowania użytkowników i włamywaczy w sposób minimalizujący występowanie fałszywych alarmów.

IPS działający w oparciu o ANN używa algorytmów, które analizują przechwycone dane i sprawdzają, czy jest to zagrożenie. Wadą takich systemów IPS jest niska wykrywalność rzadziej występujących ataków oraz początkowo ogólna niska skuteczność. Z użyciem odpowiednich danych można jednak wyszkolić taki system, aby wykrywał znane i nieznane ataki z rosnącą skutecznością.

Na obecnym poziomie rozwoju techniki AI zwiększające automatyzację procesów zapobiegania włamaniom są trudne do wdrożenia w środowiskach produkcyjnych.

Jednak wiele eksperymentów potwierdza, że ANN sprawdzają się w rozproszonym środowisku do wykrywania podejrzanej aktywności w sieci. Dobrze chronią, m.in. przed atakami DDoS, zanim włamywacz zakończyć wstępną fazę takiego ataku.

ANN działają świetnie w takich obszarach, jak uczenie się czy efektywne wykrywanie anomalii w sieci. Mają również swoje wady, przede wszystkim wymagają dużej ilości zasobów obliczeniowych. Przykładowo, zastosowanie technik AI w połączeniu z algorytmami genetycznymi i logiki rozmytej okazało się bardzo dobre do wykrywania podejrzanych działań w systemach rozproszonych. Badania koncentrują się również na możliwości dzielenia danych na podgrupy, a następnie analizowaniu ich z użyciem różnych ANN. W ten sposób rezultaty cząstkowe otrzymuje się szybciej, a następnie są one agregowane, aby otrzymać kompletny obraz.

Inną eksplorowaną metodą jest wdrażanie hybrydowych systemów IPS, w których wbudowano technologie stosowane w NIPS (Network-Based IPS) oraz HIPS (Host-based IPS). Można je stosować w wielu środowiskach: chmurze obliczeniowej, sieci mobilnej czy lokalnej sieci firmowej. Jest to rozproszona architektura (Distributed IDS), która opiera się na systemach NIPS i HIPS pełniących rolę czujników. Zwiększa to wydajność, a informacje o wykrytych nieprawidłowych danych są determinowane przez heterogeniczne mechanizmy rozpoznawania oraz zarządzania, prowadząc do skutecznego rozwiązywania problemów z bezpieczeństwem.

Obecna rzeczywistość w świecie bezpieczeństwa IT jest taka, że włamania stały się nie do uniknięcia. Dlatego możliwości monitorowania i kontrolowania dostępu, wykrywania anomalii i inne prewencyjne metody muszą działać bardziej efektywnie. Systemy IPS pozostają więc na razie obowiązkową warstwą zabezpieczającą. Największą przewagą ANN nad tradycyjnymi IPS’ami jest ich zdolność do uczenia się oraz szybszego przetwarzania informacji. Z tego względu sieci neuronowe mogą zwiększyć dokładność i wydajność systemów IPS.

Niezależnie, czy mówimy o rozwiązaniu hybrydowym czy sztucznej inteligencji, kluczowe jest wykrywanie ataków i zapobieganie im w momencie, kiedy tylko się rozpoczną. Eksperci od bezpieczeństwa zauważają, że firmy są przekonane o skuteczności stosowanych przez nie zabezpieczeń. Tymczasem raport US State of Cybercrime Survey przygotowany w 2014 r. przez PwC wskazuje, że większość tych systemów zawodzi. Co więcej, brakuje im możliwości diagnozowania i rozwiązywania problemów związanych z mniej zaawansowanymi atakami. Często konieczne jest ponowne przeanalizowanie, jaką rolę w strategii bezpieczeństwa powinien pełnić IPS.