Некоторое количество лет назад для защиты от одних и тех-же угрозр ассматривались альтернативные технологии защиты , и приходилось выбирать между:
· средствами обнаружения вторжений (СОВ) насетевом уровне;
· средствами обнаружения вторжений на уровнесистемы.
За последнее время СОВ на сетевомуровне шагнули далеко вперед за счет различных централизованных возможностей, такихкак:
· детальные проверки большого количествапротоколов;
· построение шаблонов “нормального” сетевоготрафика;
· интеграция со сканнерами защищенности дляопределения степени уязвимости узлов;
· знание карты сети;
· интеграция с сетевыми устройствами для автоматическогоблокирования атаки;
· предварительная группировка и корреляция событий;
· использование базы репутаций.
Применение данных возможностейдля СОВ на уровне системы нереально, так как потребует децентрализовано хранитьогромные базы данных и тратить существенную часть ресурсов системы.
Из сетевых СОВ выделились вотдельные устройства такие специфические средства:
· средства защиты от DDoSатак;
· средство защиты от web-атак (WAF);
· средства мониторинга активности пользователей всети.
Для этих устройств нет аналоговсреди СОВ системного уровня.
Разработчики СОВ на уровнесистемы пошли по другому пути – отказаться от хранения и использования большихбаз протоколов и сигнатур сетевых атак взамен добавить такие возможности, какперсональный межсетевой экран, антивирус и антиспам, контроль приложений и устройств,фильтрация webтрафика.
То есть вместо 100% защиты от небольшогоперечня угроз, предлагается 90% защита от большинства угроз на системном уровне.
Если раньше для большинства угрозмы нам приходилось выбирать (исходя из экономического анализа) какую СОВставить – на уровне сети ли системы?
Сейчас этого выбора фактическинет:
· защищаемся от угроз связанных с сетью – ставим СОВна уровне сети;
· защищаемся от разноплановых, но неопасных угроз –ставим СОВ на уровне системы;
· защищаем web-сервис - ставим средство защиты от web-атак.
Вместо этого у нас осталасьвозможность выбирать, какая угроза наиболее опасна (исходя из экономическогоанализа).
