Система предотвращения несанкционированного доступа (IPS) — это тип защитного программного обеспечения, предназначенный для обнаружения и предотвращения несанкционированного доступа к компьютерной сети или системе. Это система, которая отслеживает сетевой трафик на предмет признаков вредоносной активности, такой как вредоносное ПО или попытки взлома, а затем принимает меры для блокировки или предотвращения этих угроз.
Существует два основных типа систем предотвращения несанкционированного доступа (IPS). Мы можем обобщить их в сетевые и хостовые. Сетевые системы IPS устанавливаются на сетевое устройство, например брандмауэр или маршрутизатор, и отслеживают весь трафик, проходящий через сеть. С другой стороны, хост-системы IPS устанавливаются на отдельные компьютеры или серверы и отслеживают трафик, входящий и исходящий от этих устройств.
Системы IPS используют различные методы для обнаружения и предотвращения угроз. Мы можем резюмироваттоь их следующим образом;
Одним из распространенных методов является обнаружение на основе сигнатур, которое предполагает поиск конкретных моделей активности, о которых известно, что они связаны с конкретными типами угроз. Например, систему IPS можно запрограммировать на поиск определенных типов вредоносных программ или хакерских инструментов, которые, как известно, используются злоумышленниками.
Другой метод, используемый системами IPS, — это обнаружение аномалий, которое предполагает поиск необычной или неожиданной активности, которая может указывать на угрозу. Это может быть полезно для обнаружения угроз, не имеющих известной сигнатуры, или для обнаружения угроз, предназначенных для уклонения от обнаружения на основе сигнатур.
Обнаружение на основе поведения — еще один метод, который могут использовать системы IPS. Это включает в себя анализ поведения сетевого трафика для выявления активности, которая отклоняется от нормальных моделей поведения. Например, систему IPS можно запрограммировать на обнаружение необычного увеличения посещаемости определенного веб-сайта, что может указывать на попытку запустить распределенную атаку типа «отказ в обслуживании» (DDoS).
При обнаружении угрозы система IPS может принять различные меры, чтобы предотвратить ее успех. Это может включать блокировку трафика, помещение трафика в карантин или оповещение системного администратора, чтобы он мог принять меры вручную. Некоторые системы IPS также можно запрограммировать на выполнение автоматических действий, таких как отключение определенной службы или закрытие определенного порта для предотвращения распространения угрозы.
Системы IPS являются важной частью стратегии безопасности любой организации, поскольку они обеспечивают дополнительный уровень защиты от широкого спектра угроз. Они особенно полезны для обнаружения и предотвращения угроз, которые не могут быть обнаружены другими мерами безопасности, такими как брандмауэры или антивирусное программное обеспечение. Кроме того, системы IPS могут помочь организациям соблюдать правила безопасности и отраслевые стандарты, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS).