سیستم های تشخیص و پیشگیری از نفوذ (IDPS) با نظارت بر ترافیک شبکه ، تجزیه و تحلیل آن و ارائه تاکتیک های اصلاح در هنگام تشخیص رفتار مخرب ، عمل می کنند. آنها به دنبال رفتار یا ویژگیهای منطبق بر ترافیک مخرب ، ارسال هشدارها و جلوگیری از حملات هستند. ردیابی فقط رفتارهای مخرب را مشخص می کند اما در هنگام شناسایی ، اقدامی برای جلوگیری یا جلوگیری از حملات انجام نمی دهد. فقط این هشدارها را ثبت می کند. سیستم های پیشگیری می توانند قوانین فایروال را در پرواز تنظیم کنند تا در صورت شناسایی ترافیک مخرب مسدود یا کاهش یابد ، اما آنها از قابلیت شناسایی قوی سیستم های شناسایی برخوردار نیستند.
ابزارهای IDPS می توانند بدافزار را تشخیص دهند [19659003] ، حملات مهندسی اجتماعی و سایر تهدیدات مبتنی بر وب ، از جمله حملات DDoS . آنها همچنین می توانند قابلیت های جلوگیری از نفوذ پیشگیرانه را برای تهدیدات داخلی و سیستم های بالقوه خطرناک فراهم آورند.
هنگام مرور لیست ما از ابزارهای برتر نرم افزار IDPS به خاطر داشته باشید که ممکن است نیازی به خرید آنها به عنوان محصولات مستقل نداشته باشید. همچنین ممکن است با سایر ابزارهای امنیتی مانند دیوارهای آتش فایر نسل بعدی (NGFW) همراه باشد و با نام های دیگر مانند پیشگیری از تهدید قابل استفاده باشد.
سیستم های تشخیص و پیشگیری از نفوذ برتر
- McAfee NSP
- Trend Micro TippingPoint
- Darktrace Enterprise Immune System
- Cisco Firepower NGIPS
- AT&T Cybersecurity USM
- Palo Alto Networks Threat Prevention
- Blumira Automated Detection 196590] ]
ویژگی ها McAfee NSP Trend Micro TippingPoint Darktrace Enterprise Immune System Cisco Firepower NGIPS AT&T USM Palo Alto Networks Prevention & Response & 19509024] NSFocus NGIPS امضا بر اساس بله نه نه (الگوی زندگی) بله بله بله نه بله مبتنی بر ناهنجاری بله بله N o (الگوی زندگی) بله بله نه بله بله سازگار با ابر بله بله بله بله بله بله بله بله قیمت از 10995 دلار شروع می شود از 6000 دلار شروع می شود Darktrace یک دوره آزمایشی 30 روزه ارائه می دهد که ارزش آن بین 10 تا 20 هزار دلار است. برای دریافت قیمت مستقیم با فروشنده تماس بگیرید. Firepower 4120 تست شده توسط آزمایشگاه های NSS با قیمت تقریبی 100000 دلار فروخته می شود قیمت 5،595 دلار شروع می شود تماس با فروشنده برای نقل قول شروع از 1200 دلار در ماه برای فروش با قیمت تماس بگیرید ] McAfee NSP
پلت فرم امنیت شبکه McAfee (NSP) یک نسل جدید راه حل تشخیص و پیشگیری از نفوذ است که از سیستم ها و داده ها در هر کجا که زندگی می کنند ، در مراکز داده ، ابر و محیط های ترکیبی محافظت می کند. McAfee مدتهاست که یکی از بزرگترین نامها در امنیت سایبری است و دلیل آن را با این محصول جامع IDPS ثابت کرده است.
این محصول می تواند تا 32 میلیون اتصال را در یک دستگاه پشتیبانی کند و از اطلاعات برای یافتن و جلوگیری از تهدیدات بدافزار پیچیده و حملات پیشرفته هدفمند استفاده می کند. در سراسر شبکه. ارائه می دهد تجزیه و تحلیل ربات هوشمند ، بهبود نظارت بر برنامه نقطه پایانی ، تجزیه و تحلیل داده های جریان ، خودآموز پروفایل DoS و یک عملکرد تجزیه و تحلیل برای شناسایی میزبان بالقوه مخرب.
کاربران از McAfee NSP به دلیل انعطاف پذیری ، معماری جامع و عملکرد ساده آن تعریف و تمجید می کنند. وقتی نوبت به سخت افزار می رسد ، NSP با چهار مدل حسگر خود می تواند طیف وسیعی از نیازهای مشتری را برآورده کند.
Trend Micro TippingPoint
Trend Micro TippingPoint ترافیک مخرب را شناسایی و مسدود می کند ، از حرکت جانبی بدافزار جلوگیری می کند ، شبکه را تضمین می کند قابلیت دسترسی و انعطاف پذیری و افزایش عملکرد شبکه. می تواند بدون استفاده از آدرس IP یا MAC در شبکه مستقر شود تا بلافاصله ترافیک مخرب و ناخواسته را فیلتر کند. واکسن دیجیتال تهدیدهای اطلاعاتی فیلترهای امنیتی کل ردپای آسیب پذیری را پوشش می دهد ، نه فقط سو specific استفاده های خاص. این راه حل توان بازرسی ترافیک شبکه را تا 120 گیگابیت بر ثانیه ارائه می دهد.
TippingPoint از ترکیبی از فناوری ها مانند بازرسی بسته های عمیق و اعتبار تهدید استفاده می کند تا رویکردی پیشگیرانه در مورد امنیت شبکه داشته باشد. تجزیه و تحلیل عمیق آن از ترافیک ، دقت بالای تشخیص تهدید را تضمین می کند و آگاهی از زمینه را فراهم می کند تا تیم های امنیتی درک بهتری از نحوه اصلاح تهدید داشته باشند. راه حل های TippingPoint به عنوان سیستم عامل سخت افزاری یا مجازی ارائه می شوند و از طریق Intelligent Vaccine Threat Intelligence از آسیب پذیری در زمان واقعی برخوردار می شوند.
Darktrace Enterprise Immune System
Darktrace Enterprise Immune System یادگیری ماشینی و هوش مصنوعی است (AI) فناوری برای دفاع سایبری. این با مدل سازی عملکرد خود پس از سیستم ایمنی بدن انسان ، مطابق با نام خود عمل می کند. این یک تکرار "الگوی زندگی" منحصر به فرد را برای هر دستگاه و کاربر در یک شبکه می آموزد ، و این بینش ها را در ارتباط با تهدیدات جدیدی که در غیر این صورت مورد توجه قرار نخواهند گرفت ، مرتبط می کند.
سیستم ایمنی Darktrace Enterprise همچنین می تواند تلاش های پیشگیری خودکار را برای دادن تیم های امنیتی انجام دهد وقت گرانبها برای مقابله با این سیستم می تواند تهدیدات را در محیط های ابری ، شبکه های شرکتی و سیستم های کنترل صنعتی شناسایی کند. تجسم تهدید برنده جایزه Darktrace دید کلی در زیرساخت های امنیتی شبکه و نظارت کامل بر هشدارها و اقدامات AI را فراهم می کند.
Darktrace خود را یک راه حل IPS یا IDPS نمی داند ، و گارتنر موافقت می کند که این شرکت در این گروه مناسب نیست. با این حال ، شرکت تحلیل گر آن را یک فروشنده برای تماشای این منطقه از بازار نامید. این محصول IDPS به عنوان یک ابزار نرم افزاری و سخت افزاری در دسترس است.
Cisco Firepower NGIPS
Cisco's Next-Generation Intususion Prevention System شامل نرم افزار و وسایل فیزیکی و مجازی برای شعب کوچک تا شرکت های بزرگ ، ارائه توان عملیاتی است. از 50 مگابیت در ثانیه تا 60 مگابیت در ثانیه. NGIPS اطلاعات امنیتی مبتنی بر URL ، یکپارچه سازی شبکه AMP Threat Grid را ارائه می دهد و توسط تیم تحقیقاتی امنیتی Talos شرکت پشتیبانی می شود.
مرکز مدیریت Firepower داده های متنی را در مورد تهدیدها ارائه می دهد تا به تیم ها کمک کند نوع تهدیداتی را که تهدید می کنند شناسایی کرده و به آنها کمک کند. علت اصلی مسئله. Cisco هر دو ساعت Firepower را با امضاهای جدید به روز می کند ، اطمینان حاصل می کند که سیستم قادر به شناسایی جدیدترین و پیشرفته ترین تهدیدات است.
گارتنر Cisco Firepower NGIPS را به مدت هفت سال به عنوان رهبر رباعی سحرآمیز و سازمان تست آزمایشگاه های NSS آن را یک راه حل "توصیه شده" IPS برای هشت سال گذشته قلمداد کرده است. ] ، و مدیریت انطباق در یک سیستم عامل واحد. این پنج م essentialلفه اساسی یک راه حل امنیتی جامع را شامل می شود: کشف دارایی ، ارزیابی آسیب پذیری ، تشخیص نفوذ ، نظارت بر رفتار و مدیریت ورود به سیستم SIEM .
اطلاعات تهدید به طور مداوم از هر دو آزمایشگاه AlienVault و AlienVault Open Threat Exchange سیستم را در مورد بازیگران ، تهدیدها ، ابزارها و روش های مخرب به روز نگه می دارد. همچنین زمینه جدیدترین آلارم ها و آسیب پذیری ها را فراهم می کند تا تیم ها در زمان انجام تحقیقات خود صرفه جویی کنند. سیستم هشدار آن ، تهدیدات را بر اساس سطح خطر برای کمک به تیم های امنیتی در اولویت قرار دادن پاسخ ها دسته بندی می کند.
قابلیت جستجوی قوی و فیلتر کردن این امکان را به تیم ها می دهد تا هشدارها یا رویدادهای مورد علاقه را جدا کنند ، بنابراین آنها می توانند در جزئیات اطلاعات تهدیدها ، رویدادهای مرتبط ، و همچنین توصیه هایی برای پاسخ به حادثه. همچنین یک لیست طولانی از گزینه های پاسخ به حوادث وجود دارد که می تواند مستقیماً از کنسول راه اندازی شود.
AlienVault USM می تواند در محیط های داخلی و ابری مستقر شود.
Palo Alto Networks
Palo Alto Networks به دلیل فایروال های نسل بعدی قدرتمند خود ، مشهورترین است. محصول Palo Alto Networks Threat Prevention برای سرعت بخشیدن به توانایی های NGFW آنها از طریق اسکن و پیشگیری هوشمند تولید شده است. این هدف برای جلوگیری از حملات سایبری موفق از طریق اتوماسیون است.
پیشگیری از تهدید می تواند تمام ترافیک را با متن کامل کاربر بررسی کند ، به طور خودکار از تهدیدهای شناخته شده ، بدون در نظر گرفتن پورت ، پروتکل یا رمزگذاری SSL جلوگیری می کند. اطلاعات تهدیدات آن هر روز به طور خودکار به روز می شود ، و به NGFW تحویل داده می شود و توسط Threat Prevention اجرا می شود تا همه تهدیدها را متوقف کند.
Palo Alto Networks همچنین تلاش کرد تا عملکرد چشمگیر و مداوم را تضمین کند. معماری یکپارچه و مدیریت سیاست آن شناسایی و پیشگیری کامل از تهدیدات را بدون آسیب رساندن به عملکرد فراهم می کند.
NSFocus NGIPS
سیستم پیشگیری از نفوذ نسل بعدی NSFocus (NGIPS) حفاظت از تهدید را ایجاد می کند که مانع نفوذ می شود ، از تخلفات جلوگیری می کند دارایی ها را محافظت می کند از یک روش چند لایه برای شناسایی و رفع تهدیدهای مداوم شناخته شده ، روز صفر و پیشرفته برای محافظت در برابر بدافزار ، کرم ها ، جاسوس افزارها ، تروجان های پشت درب ، نشت داده ها ، شکستن نیروی بی رحمانه ، حملات پروتکل ، اسکن / کاوش و تهدیدهای وب استفاده می کند. [19659002] از ظرفیت پردازش حداکثر 20 گیگابیت بر ثانیه از داده های لایه کاربرد پشتیبانی می کند. ابزار جعبه شن و ماسه مجازی NSFocus می تواند تهدیدهای شناخته شده پیشرفته و پیشرفته را شناسایی ، ارزیابی و كاهش دهد.
NSFocus NGIPS به صورت هر دو دستگاه فیزیكی و مجازی در دسترس است.
تشخیص و پاسخ خودكار Blumira [19659070] پلتفرم تشخیص و پاسخ خودکار Blumira ، سازمان ها را قادر می سازد تا در زمان واقعی نزدیک ، در برابر تهدیدات امنیت سایبری به طور موثرتری دفاع کنند. این هدف برای کاهش صدای هشدارهای مثبت کاذب و تنها تمرکز توجه بر رفتارهای مخرب واقعی برای کاهش بار خستگی هشدار طراحی شده است.
فراتر از شناسایی تهدیدها ، پاسخ تهدید خودکار بلومیرا تقریباً در زمان واقعی کار می کند تا خودی را متوقف کند و تهدیدهای خارجی این سیستم همچنین شامل کتابهای گام به گام برای راهنمایی اقدامات ترمیم شده است. داشبورد مدیریت بینش بیشتری در مورد تهدیدها در طول زمان ، تجزیه و تحلیل باز و تهدیدهای مشکوک فراهم می کند.
Blumira یک سیستم عامل کاملاً ابری است ، بنابراین می تواند به راحتی و به سرعت به کار گرفته شود. و با هماهنگی و امنیت قوی در این IDPS ، می توان آن را تقریباً با هر اندازه مدیریت کرد.
توابع اولیه سیستم تشخیص و پیشگیری از نفوذ
توابع اصلی راه حل های IDPS را می توان به چهار دسته اصلی تقسیم کرد. :
- Monitoring: IDPS سیستم های IT را با استفاده از تشخیص نفوذ مبتنی بر امضا یا مبتنی بر ناهنجاری برای شناسایی رفتارهای غیرعادی و فعالیت های مخرب امضا رصد می کند.
- هشدارها: پس از شناسایی تهدیدات احتمالی ، نرم افزار IDPS وارد سیستم می شود و ارسال اعلان های هشدار به مدیران اطلاع از فعالیت های غیرعادی.
- اصلاح: ابزارهای IDPS مکانیسم های جلوگیری از تهدیدات مخرب را فراهم می کنند و به مدیران فرصت می دهند تا اقدامی انجام دهند. در برخی موارد ، ممکن است پس از جلوگیری از حمله ، به هیچ وجه به تیم های IT نیازی به اقدام نباشد.
- تعمیر و نگهداری: علاوه بر نظارت بر رفتارهای غیرعادی ، ابزارهای IDPS همچنین می توانند عملکرد سخت افزار IT و اجزای امنیتی را با سلامتی کنترل کنند. چک می کند این اطمینان می دهد که یک زیرساخت امنیتی همیشه به درستی کار می کند.
سیستم های تشخیص نفوذ (IDS) در مقابل سیستم های پیشگیری از نفوذ (IPS)
همانطور که قبلاً ذکر شد ، یک ابزار واقعاً جامع IDPS هم به قابلیت تشخیص و هم برای پیشگیری نیاز دارد. هنگام جستجوی راه حل ها ، به احتمال زیاد با سیستم های تشخیص نفوذ (IDS) و سیستم های جلوگیری از نفوذ (IPS) روبرو خواهید شد. اینها محصولات مستقل هستند و نباید آنها را با IDPS اشتباه بگیرند ، این امر به شما کمک می کند از ایجاد حفره های بزرگ در زیرساخت های امنیتی خود جلوگیری کنید.
ابزارهای IDS فقط برای شناسایی فعالیت های مخرب و ثبت و ارسال هشدارها طراحی شده اند. آنها قادر به جلوگیری از حمله نیستند. هشدارهایی که آنها ایجاد می کنند همیشه نیاز به مداخله انسانی دارند.
IPS ، بر اساس معیارهای از پیش تعیین شده انواع حملات ، با مسدود کردن ترافیک و رها کردن فرآیندهای مخرب ، پاسخ می دهد. متأسفانه ، ابزارهای IPS به دلیل داشتن قابلیت تشخیص پایین تر در مقایسه با IDS ، منجر به مثبت نادرست می شوند.
راه حل های IDPS نقاط قوت هر دو سیستم را در یک محصول یا مجموعه محصولات قرار می دهند.
انواع IDPS
انواع IDPS را می توان بر اساس آنچه برای محافظت طراحی شده اند طبقه بندی کرد. آنها عموماً تحت دو نوع میزبان و مبتنی بر شبکه قرار می گیرند.
میزبان مبتنی بر IDPS
میزبان مبتنی بر IDPS نرم افزاری است که در میزبان مستقر می شود و صرفاً ترافیک را برای اتصال به میزبان و از آن کنترل می کند. معمولاً فقط از یک نقطه پایان خاص و خاص محافظت می کند. در برخی موارد ، همچنین ممکن است پرونده های سیستم ذخیره شده در میزبان را برای تغییرات غیرمجاز و فرآیندهای در حال اجرا بر روی سیستم کنترل کند.
IDPS مبتنی بر شبکه
IDPS مبتنی بر شبکه ، که بعضا سیستم های تشخیص نفوذ شبکه نیز نامیده می شود ( NIDS) ، در مکانی مستقر شده اند که می تواند ترافیک را برای کل بخش شبکه یا زیر شبکه کنترل کند. عملکرد آنها تا حدی شبیه دیوارهای آتش است ، که فقط قادر به جلوگیری از نفوذ خارج از شبکه و اجرای لیست های کنترل دسترسی (ACL) بین شبکه ها است.
NIDS برای شناسایی و هشدار در مورد ترافیک داخلی احتمالی مخرب طراحی شده است. حرکت جانبی در سراسر شبکه ؛ این امر آن را به ابزاری عالی برای یک چارچوب امنیتی صفر اعتماد تبدیل می کند. ترافیک بر اساس مشخصات انواع متداول حملات ، از نظر علائم رفتار مخرب مورد تجزیه و تحلیل قرار می گیرد. متداول ترین روش های تشخیص مبتنی بر امضا و مبتنی بر ناهنجاری است.
تشخیص نفوذ مبتنی بر امضا
تشخیص نفوذ مبتنی بر امضا مواردی از حملات شناخته شده را جستجو می کند. هنگامی که محتوای مخرب شناسایی می شود ، برای ویژگی های منحصر به فرد تجزیه و تحلیل می شود تا اثر انگشت یا امضا برای حمله خاص ایجاد شود. این امضا می تواند به شکل یک هویت یا الگوی رفتاری شناخته شده باشد. سپس سیستم های مبتنی بر امضا این اثر انگشت را با یک پایگاه داده از امضاهای قبلی مقایسه می کنند تا نوع خاص حمله را شناسایی کنند. نکته منفی این سیستم ها این است که آنها باید مرتباً به روز شوند تا بتوانند انواع جدید و در حال تحولات را تشخیص دهند.
تشخیص نفوذ مبتنی بر آنومالی
تشخیص نفوذ مبتنی بر ناهنجاری مدل اولیه ای از "نرمال" را ایجاد می کند. ”رفتار برای یک سیستم خاص به جای ایجاد اثر انگشت. سپس سیستم برای شناسایی ناهنجاری های رفتاری ، تمام رفتارهای زمان واقعی را در برابر مدل طبیعی قبلا ایجاد شده مقایسه می کند. این موارد از رفتارهای غیر عادی برای شناسایی حملات احتمالی و ایجاد هشدارها استفاده می شود. تشخیص مبتنی بر امضا دارای نادرست مثبت است اما فقط می تواند حملات شناخته شده را تشخیص دهد.
تشخیص مبتنی بر ناهنجاری می تواند منجر به مثبت بودن نادرست شود زیرا هشدار دهنده تمام رفتارهای ناهنجار است. اما این امکان را دارد که تهدیدهای روز صفر را تحمل کند. خوشبختانه ، بسیاری از محصولات IDPS هر دو روش را برای تکمیل نقاط قوت و ضعف خود ترکیب می کنند.
چالش هایی هنگام مدیریت IDPS
هنگام استفاده از ابزارهای نرم افزاری IDPS ، ممکن است چالش هایی را تجربه کنید. در اینجا چند مورد برای جلب توجه بیشتر آورده شده است:
- نکات مثبت: تقریباً مطمئناً با مشکل هشدارهای مثبت کاذب روبرو خواهید شد که می تواند باعث اتلاف وقت و منابع شود. هنگامی که از رفتارهای احتمالی مخرب مطلع می شوید ، هوشیار باشید ، اما همچنین توجه داشته باشید که این حمله تضمینی برای حمله نیست.
- کارکنان: امنیت سایبری برای سازمان های مدرن بسیار ضروری است به طوری که در حال حاضر کمبود وجود دارد متخصصان امنیتی موجود . قبل از اجرای سیستم IDPS ، اطمینان حاصل کنید که تیمی را تشکیل داده اید که توانایی مدیریت م effectivelyثر آن را دارد.
- خطرات واقعی: فراتر از مدیریت یک IDPS ، مواردی وجود دارد که نیاز به مداخله مدیر است. IDPS می تواند بسیاری از حملات را مسدود کند ، اما نه همه. اطمینان حاصل کنید که تیم ها اطلاعات خود را در مورد انواع جدید حملات به روز نگه دارند تا هنگام شناسایی فرد کور نشوند.
