Sistem IPS ialah alat moden untuk mencipta arkib elektronik, sistem pengurusan dokumen, PDM dan PLM. Skrin IPS - apakah itu dan apakah kelebihan teknologi

Peranti elektronik moden hampir universal. Sebagai contoh, telefon pintar mengatasi dengan cemerlang bukan sahaja dengan panggilan (menerima dan membuat panggilan), tetapi juga dengan keupayaan untuk melayari Internet, mendengar muzik, menonton video atau membaca buku. Tablet sesuai untuk tugas yang sama. Skrin adalah salah satu bahagian paling penting dalam elektronik, terutamanya jika ia sensitif sentuhan dan berfungsi bukan sahaja untuk memaparkan fail, tetapi juga untuk kawalan. Mari kita berkenalan dengan ciri-ciri paparan dan teknologi yang digunakan untuk menciptanya. Mari kita beri perhatian khusus kepada apa itu skrin IPS, jenis teknologinya, dan apakah kelebihannya.

Bagaimanakah skrin LCD berfungsi?

Pertama sekali, mari kita fikirkan bagaimana peralatan moden dilengkapi. Pertama, ia adalah matriks aktif. Ia terdiri daripada transistor mikrofilem. Terima kasih kepada mereka, imej itu terbentuk. Kedua, ini adalah lapisan kristal cecair. Mereka dilengkapi dengan penapis cahaya dan mencipta R-, G-, B-subpiksel. Ketiga, ini ialah sistem lampu latar skrin, yang membolehkan anda membuat imej kelihatan. Ia boleh menjadi pendarfluor atau LED.

Ciri-ciri teknologi IPS

Tegasnya, matriks IPS adalah sejenis teknologi TFT yang digunakan untuk mencipta skrin LCD. TFT selalunya merujuk kepada monitor yang dihasilkan menggunakan kaedah TN-TFT. Berdasarkan ini, mereka boleh dibandingkan. Untuk membiasakan diri dengan selok-belok memilih elektronik, mari kita ketahui apa itu teknologi skrin IPS dan maksud konsep ini. Perkara utama yang membezakan paparan ini daripada TN-TFT ialah susunan piksel kristal cecair. Dalam kes kedua, mereka disusun dalam lingkaran, pada sudut sembilan puluh darjah secara mendatar di antara kedua-dua plat. Dalam yang pertama (yang paling menarik minat kita), matriks terdiri daripada transistor filem nipis. Selain itu, kristal terletak di sepanjang satah skrin selari antara satu sama lain. Tanpa voltan yang dikenakan kepada mereka, mereka tidak berpusing. Dalam TFT, setiap transistor mengawal satu titik pada skrin.

Perbezaan antara IPS dan TN-TFT

Mari kita lihat lebih dekat IPS dan apakah itu. Monitor yang dibuat menggunakan teknologi ini mempunyai banyak kelebihan. Pertama sekali, ia mempunyai penampilan warna yang sangat baik. Keseluruhan julat warna terang dan realistik. Terima kasih kepada sudut tontonan yang luas, imej tidak pudar, tidak kira dari sudut mana anda melihatnya. Monitor mempunyai kontras yang lebih tinggi dan lebih jelas kerana fakta bahawa hitam dihasilkan semula dengan sempurna. Anda boleh perhatikan kelemahan berikut yang terdapat pada jenis skrin IPS. Bahawa ini, pertama sekali, penggunaan tenaga yang tinggi, kelemahan yang ketara. Di samping itu, peranti yang dilengkapi dengan skrin sedemikian mahal, kerana pengeluarannya sangat mahal. Sehubungan itu, TN-TFT mempunyai ciri-ciri yang bertentangan secara diametrik. Mereka mempunyai sudut tontonan yang lebih kecil, dan apabila sudut pandangan berubah, imej itu diherotkan. Mereka tidak begitu mudah digunakan di bawah sinar matahari. Gambar menjadi gelap dan silau mengganggu. Walau bagaimanapun, paparan sedemikian mempunyai tindak balas yang cepat, menggunakan lebih sedikit tenaga dan berpatutan. Oleh itu, monitor sedemikian dipasang dalam model elektronik bajet. Oleh itu, kita boleh membuat kesimpulan dalam kes mana skrin IPS sesuai, bahawa ini adalah perkara yang bagus untuk pencinta pawagam, fotografi dan video. Walau bagaimanapun, disebabkan kurang responsif, mereka tidak disyorkan untuk peminat permainan komputer dinamik.

Perkembangan syarikat terkemuka

Teknologi IPS itu sendiri dicipta oleh syarikat Jepun Hitachi bersama NEC. Apa yang baru di dalamnya ialah susunan kristal kristal cecair: bukan dalam lingkaran (seperti dalam TN-TFT), tetapi selari antara satu sama lain dan di sepanjang skrin. Akibatnya, monitor sedemikian menghasilkan warna yang lebih cerah dan lebih tepu. Imej itu boleh dilihat walaupun di bawah matahari terbuka. Sudut tontonan matriks IPS ialah seratus tujuh puluh lapan darjah. Anda boleh melihat skrin dari mana-mana titik: bawah, atas, kanan, kiri. Gambar tetap jelas. Tablet popular dengan skrin IPS dihasilkan oleh Apple; ia dicipta pada matriks IPS Retina. Satu inci menggunakan ketumpatan piksel yang meningkat. Akibatnya, imej pada paparan adalah bebas bijian dan warna dipaparkan dengan lancar. Menurut pemaju, mata manusia tidak melihat zarah mikro jika piksel lebih daripada 300 ppi. Pada masa kini, peranti dengan paparan IPS menjadi lebih berpatutan, dan model elektronik bajet mula dilengkapi dengannya. Jenis matriks baharu sedang dibuat. Contohnya, MVA/PVA. Mereka mempunyai tindak balas yang cepat, sudut tontonan yang luas dan penampilan warna yang sangat baik.

Peranti dengan skrin berbilang sentuh

Baru-baru ini, peranti elektronik dengan kawalan sentuh telah mendapat populariti yang besar. Dan ia bukan hanya telefon pintar. Mereka menghasilkan komputer riba dan tablet yang mempunyai skrin sentuh IPS, yang digunakan untuk mengurus fail dan imej. Peranti sedemikian sangat diperlukan untuk bekerja dengan video dan gambar. Bergantung pada jenis, terdapat peranti padat dan format penuh. multi-touch mampu mengenali sepuluh sentuhan secara serentak, iaitu, anda boleh bekerja pada monitor sedemikian dengan dua tangan sekaligus. Peranti mudah alih kecil, seperti telefon pintar atau tablet tujuh inci, mengecam lima sentuhan. Ini cukup memadai jika telefon pintar anda mempunyai skrin IPS yang kecil. Ramai pembeli peranti kompak telah menghargai bahawa ini sangat mudah.

Dalam artikel ini, anda akan mempelajari beberapa ciri sistem pencegahan serangan yang biasa diketahui dan kurang diketahui.

Apakah itu sistem pencegahan serangan

Sistem pencegahan serangan (Intrusion Prevention Systems, atau singkatannya IPS) ialah pembangunan sistem pengesanan serangan (Intrusion Detection Systems, atau singkatannya IDS). IDS pada mulanya hanya mengesan ancaman dengan mendengar trafik pada rangkaian dan pada hos, dan kemudian menghantar makluman kepada pentadbir dalam pelbagai cara. IPS kini menyekat serangan serta-merta pada masa ia dikesan, walaupun ia juga boleh berfungsi dalam mod IDS - hanya dengan memberitahu tentang masalah.

Kadangkala kefungsian IPS difahami sebagai fungsi bersama kedua-dua IDS dan tembok api dalam satu peranti. Ini sering disebabkan oleh fakta bahawa sesetengah IPS mempunyai peraturan terbina dalam untuk menyekat paket berdasarkan alamat sumber dan destinasi. Walau bagaimanapun, ini bukan tembok api. Dalam tembok api, menyekat trafik bergantung sepenuhnya pada keupayaan anda untuk mengkonfigurasi peraturan, dan dalam IPS, pada keupayaan pengaturcara pengeluar untuk menulis algoritma bebas ralat untuk mencari serangan dalam trafik yang bergerak melalui rangkaian. Terdapat satu lagi "persamaan": teknologi firewall, yang dikenali sebagai statefull inspection, sangat serupa dengan salah satu teknologi yang digunakan dalam IPS untuk mengenal pasti sama ada sambungan berbeza tergolong dalam protokol rangkaian yang sama, dan di sini ia dipanggil port following. Terdapat lebih banyak perbezaan, sebagai contoh, Firewall tidak dapat mengesan terowong satu protokol ke protokol yang lain, tetapi IPS boleh.

Satu lagi perbezaan antara teori membina IPS dan tembok api ialah apabila peranti gagal, IPS mesti LULUS lalu lintas, dan tembok api mesti MENGHALANG trafik. Untuk beroperasi dalam mod yang sesuai, modul pintasan yang dipanggil dibina ke dalam IPS. Terima kasih kepadanya, walaupun anda secara tidak sengaja mematikan kuasa IPS, trafik akan mengalir dengan bebas melalui peranti. Kadangkala IPS juga dikonfigurasikan untuk menyekat trafik apabila ia gagal - tetapi ini adalah kes khas, paling kerap digunakan apabila dua peranti digunakan dalam mod Ketersediaan Tinggi.
IPS ialah peranti yang jauh lebih kompleks daripada firewall. IPS digunakan untuk ancaman yang tidak dapat diatasi oleh IPS. IPS mengandungi pengetahuan tertumpu sebilangan besar pakar keselamatan yang telah mengenal pasti, menemui corak dan kemudian memprogramkan kod yang mengenal pasti masalah dalam bentuk peraturan untuk menganalisis kandungan yang bergerak merentasi rangkaian.

IPS dalam rangkaian korporat adalah sebahagian daripada pertahanan berbilang lapisan kerana ia disepadukan dengan alat keselamatan lain: tembok api, pengimbas keselamatan, sistem pengurusan insiden dan juga antivirus. Akibatnya, untuk setiap serangan kini terdapat peluang bukan sahaja untuk mengenal pastinya dan kemudian memberitahu pentadbir atau menyekatnya, tetapi juga untuk menjalankan analisis penuh insiden itu: mengumpul paket yang datang daripada penyerang, memulakan penyiasatan, dan menghapuskan kelemahan dengan mengubah suai pakej.

Dalam kombinasi dengan sistem pengurusan keselamatan yang betul, menjadi mungkin untuk mengawal tindakan pentadbir rangkaian itu sendiri, yang bukan sahaja mesti menghapuskan kelemahan, contohnya dengan memasang tampalan, tetapi juga melaporkan kepada sistem tentang kerja yang dilakukan. Yang, secara amnya, membawa makna yang ketara kepada operasi sistem sedemikian. Apa gunanya bercakap tentang masalah dalam rangkaian jika tiada siapa yang bertindak balas terhadap masalah ini dan tidak bertanggungjawab ke atasnya? Semua orang tahu masalah kekal ini: orang yang mengalami kerugian akibat gangguan sistem komputer dan orang yang melindungi sistem ini adalah orang yang berbeza. Melainkan jika kita mempertimbangkan kes yang melampau, contohnya, komputer rumah yang disambungkan ke Internet.

Kelewatan lalu lintas

Di satu pihak, adalah baik bahawa bukan sahaja mungkin untuk menerima maklumat tentang serangan yang berterusan, tetapi juga untuk menyekatnya dengan peranti itu sendiri. Tetapi sebaliknya, sistem pencegahan serangan perlu dipasang bukan pada port SPAN suis, tetapi melalui semua trafik rangkaian secara langsung melalui peranti keselamatan itu sendiri, yang tidak dapat dielakkan memperkenalkan kelewatan dalam laluan paket melalui rangkaian. Dan dalam kes VoIP, ini adalah kritikal, walaupun jika anda akan melindungi daripada serangan pada VoIP, maka tidak ada cara lain untuk melindungi daripada serangan sedemikian.

Oleh itu, salah satu ciri yang anda perlukan untuk menilai sistem pencegahan serangan semasa membeli ialah jumlah kependaman rangkaian yang tidak dapat dielakkan oleh sistem sedemikian. Sebagai peraturan, maklumat ini boleh diperoleh daripada pengilang itu sendiri, tetapi anda boleh membaca penyelidikan daripada makmal ujian bebas, seperti NSS. Mempercayai pengeluar adalah satu perkara, tetapi menyemak sendiri adalah perkara lain.

Bilangan positif palsu

Ciri kedua yang perlu anda lihat ialah bilangan positif palsu. Sama seperti kita terganggu oleh spam, positif palsu mempunyai kesan yang sama pada pentadbir keselamatan. Pada akhirnya, pentadbir, untuk melindungi jiwa mereka, hanya berhenti membalas semua mesej daripada sistem dan membelinya menjadi pembaziran wang. Contoh biasa sistem dengan sejumlah besar positif palsu ialah SNORT. Untuk mengkonfigurasi sistem ini lebih kurang secukupnya khusus kepada ancaman dalam rangkaian anda, anda perlu menghabiskan banyak masa.

Sesetengah sistem pengesanan dan pencegahan serangan mempunyai kaedah korelasi terbina dalam yang menentukan kedudukan serangan yang dikesan mengikut keterukan menggunakan maklumat daripada sumber lain, seperti pengimbas keselamatan. Sebagai contoh, jika pengimbas keselamatan melihat bahawa komputer menjalankan SUN Solaris dan Oracle, maka kita boleh mengatakan dengan seratus peratus pasti bahawa serangan cacing Slammer (yang menyasarkan MS SQL) tidak akan berfungsi pada pelayan ini. Oleh itu, sistem korelasi sedemikian menandakan beberapa serangan sebagai gagal, yang sangat memudahkan kerja pentadbir.

Kemodenan teknologi perlindungan

Ciri ketiga ialah kaedah untuk mengesan (dan pada masa yang sama menyekat) serangan dan keupayaan untuk menyesuaikannya dengan keperluan rangkaian anda. Pada mulanya, terdapat dua pendekatan berbeza: IPS berasaskan tandatangan mencari serangan berdasarkan eksploitasi yang ditemui sebelum ini, dan analisis protokol IPS mencari serangan berdasarkan pengetahuan tentang kelemahan yang ditemui sebelum ini. Jika anda menulis eksploitasi baharu untuk kelemahan yang sama, maka IPS kelas pertama tidak akan mengesan dan menyekatnya, tetapi IPS kelas kedua akan mengesan dan menyekatnya. IPS Kelas II adalah lebih berkesan kerana ia menyekat keseluruhan kelas serangan. Akibatnya, satu pengeluar memerlukan 100 tandatangan untuk mengesan semua jenis serangan yang sama, manakala satu lagi hanya memerlukan satu peraturan yang menganalisis kelemahan protokol atau format data yang digunakan oleh semua jenis serangan ini. Baru-baru ini istilah perlindungan pencegahan telah muncul. Ia juga termasuk keupayaan untuk melindungi daripada serangan yang belum diketahui dan perlindungan terhadap serangan yang sudah diketahui, tetapi pengeluar masih belum mengeluarkan patch. Secara umum, perkataan "pencegahan" hanyalah satu lagi Amerikaisme. Terdapat istilah yang lebih Rusia: "tepat pada masanya" - perlindungan yang berfungsi sebelum kita digodam atau dijangkiti, dan bukan selepas itu. Teknologi sedemikian sudah wujud dan mesti digunakan. Tanya pengilang semasa membeli: apakah teknologi perlindungan pencegahan yang mereka gunakan dan anda akan memahami segala-galanya.

Malangnya, belum ada sistem yang secara serentak menggunakan dua kaedah analisis serangan yang terkenal: analisis protokol (atau analisis tandatangan) dan analisis tingkah laku. Oleh itu, untuk perlindungan lengkap, anda perlu memasang sekurang-kurangnya dua peranti pada rangkaian. Satu peranti akan menggunakan algoritma untuk mencari kelemahan menggunakan tandatangan dan analisis protokol. Satu lagi akan menggunakan kaedah statistik dan analisis untuk menganalisis anomali dalam kelakuan aliran rangkaian. Kaedah berasaskan tandatangan masih digunakan dalam banyak sistem pengesanan dan pencegahan serangan, tetapi malangnya ia tidak wajar. Mereka tidak menyediakan perlindungan proaktif kerana eksploitasi diperlukan untuk mengeluarkan tandatangan. Mengapa anda memerlukan tandatangan sekarang jika anda telah diserang dan grid telah dipecahkan? Antivirus tandatangan kini tidak dapat mengatasi virus baharu atas sebab yang sama - kereaktifan perlindungan. Oleh itu, kaedah analisis serangan yang paling maju sekarang ialah analisis protokol penuh. Idea kaedah ini adalah bahawa ia bukan serangan khusus yang dianalisis, tetapi tanda eksploitasi kelemahan oleh penyerang yang dicari dalam protokol itu sendiri. Sebagai contoh, sistem boleh menjejaki sama ada, sebelum permulaan paket serangan TCP, terdapat pertukaran tiga paket untuk mewujudkan sambungan TCP (paket dengan bendera SYN, SYN+ACK, ACK). Jika sambungan perlu diwujudkan sebelum melakukan serangan, sistem analisis protokol akan menyemak sama ada terdapat satu dan jika paket dengan serangan tanpa mewujudkan sambungan dihantar, ia akan mendapati bahawa serangan sedemikian tidak berjaya kerana tiada sambungan. Tetapi sistem tandatangan akan memberikan positif palsu, kerana ia tidak mempunyai fungsi sedemikian.

Sistem tingkah laku berfungsi dengan cara yang berbeza. Mereka menganalisis trafik rangkaian (contohnya, kira-kira seminggu) dan mengingati aliran rangkaian yang biasanya berlaku. Sebaik sahaja lalu lintas muncul yang tidak sepadan dengan tingkah laku yang diingati, jelas bahawa sesuatu yang baharu berlaku pada rangkaian: contohnya, penyebaran cacing baharu. Di samping itu, sistem sedemikian disambungkan ke pusat kemas kini dan sekali sejam atau lebih kerap menerima peraturan baharu untuk tingkah laku cacing dan kemas kini lain, contohnya, senarai tapak pancingan data, yang membolehkan mereka menyekatnya dengan segera, atau senarai botnet hos pengurusan, yang membolehkan mereka mengesan jangkitan beberapa hos sebaik sahaja ia cuba menyambung ke pusat kawalan rangkaian bot, dsb.

Malah kemunculan hos baharu pada rangkaian adalah peristiwa penting untuk sistem tingkah laku: anda perlu mengetahui jenis hos itu, apa yang dipasang padanya, sama ada ia mempunyai kelemahan, atau mungkin hos baharu itu sendiri akan menjadi. seorang penyerang. Bagi pembekal, sistem tingkah laku sedemikian adalah penting kerana ia membolehkan mereka menjejaki perubahan dalam "aliran kargo", kerana penting bagi pembekal untuk memastikan kelajuan dan kebolehpercayaan penghantaran paket, dan jika tiba-tiba pada waktu pagi ternyata semua lalu lintas melalui satu saluran dan tidak sesuai di dalamnya, dan selebihnya beberapa saluran ke Internet melalui pembekal lain tidak digunakan, ini bermakna bahawa di suatu tempat tetapan telah salah dan kita perlu mula mengimbangi dan mengagihkan semula beban.
Bagi pemilik rangkaian kecil, adalah penting bahawa tiada penyerang di dalam, supaya rangkaian tidak disenaraihitamkan oleh spammer, supaya penyerang tidak menyumbat keseluruhan saluran Internet dengan sampah. Tetapi anda perlu membayar wang kepada pembekal untuk saluran Internet dan trafik. Setiap pengarah syarikat ingin segera mengesan dan menghentikan pembaziran wang pada trafik yang tidak berguna untuk perniagaan.

Protokol dan format data yang dianalisis

Jika kita bercakap tentang pakar teknikal yang memutuskan sistem pencegahan serangan yang mana untuk dipilih, maka mereka harus bertanya soalan tentang protokol khusus yang dianalisis oleh sistem. Mungkin anda berminat dengan sesuatu yang khusus: contohnya, menganalisis serangan dalam javascript, atau menangkis percubaan suntikan sql, atau serangan DDoS, atau anda biasanya mempunyai SCADA (sistem kawalan dan pengurusan sensor) dan perlu menganalisis protokol sistem khusus anda, atau adalah penting untuk anda melindungi protokol VoIP , yang sudah mempunyai kelemahan pelaksanaan kerana kerumitannya.
Di samping itu, tidak semua orang tahu bahawa acara IPS bukan sahaja dari jenis "serangan", terdapat juga jenis "audit" dan "status". Sebagai contoh, IPS boleh menangkap sambungan dan semua mesej ICQ. Jika dasar keselamatan anda melarang ICQ, penggunaannya adalah serangan. Jika tidak, maka anda boleh menjejaki semua sambungan dan siapa yang berkomunikasi dengan siapa. Atau lumpuhkan sahaja tandatangan ini jika anda rasa ia tidak tepat.

Pakar

Persoalannya timbul: di mana kita boleh mendapatkan pakar sedemikian yang memahami apa yang perlu dibeli, dan siapa yang kemudiannya akan tahu bagaimana untuk bertindak balas terhadap setiap mesej daripada sistem pencegahan serangan dan bahkan akan dapat mengkonfigurasinya. Sudah jelas bahawa anda boleh mengikuti kursus untuk mempelajari cara mengurus sistem sedemikian, tetapi pada hakikatnya seseorang mesti terlebih dahulu memahami protokol rangkaian, kemudian serangan rangkaian, dan kemudian kaedah tindak balas. Tetapi tidak ada kursus sedemikian. Ini memerlukan pengalaman. Terdapat syarikat yang menawarkan penyumberan luar untuk mengurus dan menganalisis mesej yang diterima daripada konsol sistem keselamatan. Mereka telah menggaji pakar selama bertahun-tahun yang memahami dan mempunyai pemahaman yang mendalam tentang keselamatan Internet dan mereka memberikan perlindungan yang berkesan, dan anda, seterusnya, menghilangkan rasa sakit kepala mencari kakitangan yang memahami pelbagai jenis alat perlindungan yang tersedia, daripada VPN kepada antivirus. Di samping itu, penyumberan luar melibatkan pemantauan 24/7, tujuh hari seminggu, tujuh hari seminggu, jadi perlindungan menjadi lengkap. Dan anda biasanya boleh mengupah pakar hanya untuk bekerja dari Isnin hingga Jumaat dari 9 hingga 18, dan kadang-kadang dia jatuh sakit, belajar, pergi ke persidangan, pergi dalam perjalanan perniagaan, dan kadang-kadang tanpa diduga berhenti.

Sokongan produk

Adalah penting untuk menekankan perkara sedemikian dalam IPS sebagai sokongan produknya oleh pengeluar. Malangnya, kemas kini kepada algoritma, tandatangan dan peraturan masih diperlukan, memandangkan teknologi dan penyerang tidak berdiam diri dan kelas kelemahan baharu dalam teknologi baharu perlu sentiasa ditutup. Beberapa ribu kelemahan ditemui setiap tahun. Sudah tentu, perisian dan perkakasan anda mengandungi beberapa daripadanya. Bagaimanakah anda mengetahui tentang kelemahannya dan bagaimana anda melindungi diri anda kemudian? Tetapi kita memerlukan pemantauan berterusan terhadap kaitan perlindungan. Oleh itu, komponen penting ialah sokongan berterusan alat keselamatan yang telah anda amanahkan untuk keselamatan syarikat anda: kehadiran pasukan profesional yang sentiasa memantau kelemahan baharu dan menulis semakan baharu tepat pada masanya, yang dengan sendirinya mencari kelemahan dalam agar sentiasa mendahului penyerang. Oleh itu, apabila anda membeli sistem yang kompleks seperti IPS, lihat sokongan yang ditawarkan oleh pengeluar. Adalah berguna untuk mengetahui seberapa baik dan tepat pada masanya dia menangani serangan yang telah berlaku pada masa lalu.

Perlindungan terhadap kaedah pintasan IPS

IPS itu sendiri sangat sukar untuk diserang kerana ia tidak mempunyai alamat IP. (IPS diuruskan melalui port pengurusan yang berasingan.) Walau bagaimanapun, terdapat kaedah untuk memintas IPS yang membolehkan anda "menipu" dan menyerang rangkaian yang mereka lindungi. Kaedah ini diterangkan secara terperinci dalam kesusasteraan popular. Sebagai contoh, makmal ujian NSS secara aktif menggunakan kaedah pintasan untuk menguji IPS. Sukar bagi pengeluar IPS untuk mengatasi kaedah ini. Dan cara pengilang menangani kaedah pintasan adalah satu lagi ciri menarik bagi sistem pencegahan serangan.

Kepentingan menggunakan IPS dalam rangkaian korporat telah lama tertangguh; teknologi pencegahan baharu yang melindungi organisasi daripada serangan baharu telah pun dibangunkan, jadi yang tinggal hanyalah memasang dan mengendalikannya dengan betul. Artikel itu secara khusus tidak menyebut nama pengeluar untuk menjadikan semakan sifat IPS tidak berat sebelah mungkin.

Pada masa ini, terdapat pelbagai jenis perisian hasad yang tidak terkira banyaknya. Pakar perisian antivirus sedar bahawa penyelesaian hanya berdasarkan pangkalan data tandatangan virus tidak boleh berkesan terhadap beberapa jenis ancaman. Banyak virus dapat menyesuaikan diri, menukar saiz dan nama fail, proses dan perkhidmatan.

Jika potensi bahaya fail tidak dapat dikesan oleh tanda luaran, anda boleh menentukan sifat berniat jahatnya melalui tingkah lakunya. Ia adalah analisis tingkah laku yang dijalankan oleh Host Intrusion Prevention System (HIPS).

HIPS ialah perisian khusus yang memantau fail, proses dan perkhidmatan untuk aktiviti yang mencurigakan. Dalam erti kata lain, perlindungan HIPS proaktif digunakan untuk menyekat perisian hasad berdasarkan kriteria pelaksanaan kod berbahaya. Penggunaan teknologi membolehkan anda mengekalkan keselamatan sistem yang optimum tanpa perlu mengemas kini pangkalan data.

HIPS dan firewall adalah komponen yang berkait rapat. Manakala firewall mengawal trafik masuk dan keluar berdasarkan set peraturan, HIPS mengawal permulaan dan operasi proses berdasarkan perubahan yang dibuat pada komputer mengikut peraturan kawalan.

Modul HIPS melindungi komputer anda daripada jenis ancaman yang diketahui dan tidak diketahui. Apabila tindakan yang mencurigakan dilakukan oleh perisian hasad atau penyerang, HIPS menyekat aktiviti ini, memberitahu pengguna dan menawarkan penyelesaian selanjutnya. Apakah perubahan sebenarnya yang difokuskan oleh HIPS?

Berikut ialah senarai kasar aktiviti yang dipantau dengan teliti oleh HIPS:

Urus program lain yang dipasang. Contohnya, menghantar e-mel menggunakan klien e-mel standard atau melancarkan halaman tertentu dalam penyemak imbas lalai anda;

Percubaan untuk membuat perubahan pada entri pendaftaran sistem tertentu supaya program akan bermula apabila peristiwa tertentu berlaku;

Menamatkan program lain. Contohnya, melumpuhkan pengimbas anti-virus;

Memasang peranti dan pemacu yang dijalankan sebelum program lain;

Akses memori antara pemproses yang membenarkan kod hasad disuntik ke dalam program yang dipercayai

Apa yang diharapkan daripada HIPS yang berjaya?

HIPS mesti mempunyai kuasa yang mencukupi untuk menghentikan perisian hasad daripada aktif. Jika pengesahan pengguna diperlukan untuk menghentikan program berbahaya, sistem itu tidak berkesan. Sistem pencegahan pencerobohan mesti mempunyai set peraturan khusus yang boleh digunakan oleh pengguna. Operasi untuk mencipta peraturan baharu harus tersedia (walaupun perlu ada pengecualian tertentu). Pengguna, bekerja dengan HIPS, mesti memahami dengan jelas akibat perubahannya. Jika tidak, mungkin terdapat konflik antara perisian dan sistem. Maklumat tambahan tentang pengendalian sistem pencegahan pencerobohan boleh didapati di forum khusus atau dalam fail bantuan antivirus.

Biasanya, teknologi HIPS berfungsi apabila proses bermula. Ia mengganggu tindakan semasa ia sedang dijalankan. Walau bagaimanapun, terdapat produk HIPS dengan pengesanan awal, apabila potensi bahaya fail boleh laku ditentukan sebelum ia benar-benar dilancarkan.

Adakah terdapat risiko?

Risiko yang dikaitkan dengan HIPS adalah positif palsu dan keputusan pengguna yang salah. Sistem bertanggungjawab untuk perubahan tertentu yang dilakukan oleh program lain. Sebagai contoh, HIPS sentiasa menjejaki laluan pendaftaran HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, bertanggungjawab untuk memuatkan program secara automatik pada permulaan sistem.

Jelas sekali, banyak program selamat menggunakan entri pendaftaran ini untuk bermula secara automatik. Apabila perubahan dibuat pada kunci ini, HIPS akan menggesa pengguna untuk tindakan selanjutnya: benarkan atau tolak perubahan. Selalunya, pengguna hanya mengklik membenarkan tanpa menyelidiki maklumat, terutamanya jika mereka memasang perisian baharu pada masa itu.

Sesetengah HIPS memaklumkan tentang keputusan serupa pengguna lain, tetapi dengan sebilangan kecil keputusan itu tidak relevan dan boleh mengelirukan pengguna. Kami hanya boleh berharap bahawa kebanyakan pengguna membuat pilihan yang tepat sebelum anda. Sistem ini berfungsi dengan baik dalam mengenal pasti potensi bahaya dan memaparkan mesej penggera. Selanjutnya, walaupun HIPS mengenal pasti ancaman dengan betul, pengguna boleh melakukan tindakan yang salah dan dengan itu menjangkiti PC.

Kesimpulan: HIPS adalah elemen penting dalam perlindungan berbilang lapisan. Ia juga disyorkan untuk menggunakan modul keselamatan lain dengan sistem. Untuk HIPS beroperasi secara optimum dan berkesan, pengguna mesti mempunyai pengetahuan dan kelayakan tertentu.

Berdasarkan blog Malwarebytes Unpacked

Menemui kesilapan menaip? Serlahkan dan tekan Ctrl + Enter

Hari ini, sistem pengesanan dan pencegahan pencerobohan (IDS/IPS, Sistem pengesanan pencerobohan / Sistem pencegahan pencerobohan, istilah Rusia yang serupa - SOV/SOA) ialah elemen perlindungan yang diperlukan terhadap serangan rangkaian. Tujuan utama sistem sedemikian adalah untuk mengenal pasti kes akses tanpa kebenaran kepada rangkaian korporat dan mengambil tindakan balas yang sesuai: memaklumkan pakar keselamatan maklumat tentang fakta pencerobohan, memutuskan sambungan dan mengkonfigurasi semula tembok api untuk menyekat tindakan selanjutnya penyerang, iaitu perlindungan terhadap serangan penggodam dan perisian hasad.

Penerangan umum teknologi

Terdapat beberapa teknologi IDS yang berbeza dalam jenis peristiwa yang dikesan dan metodologi yang digunakan untuk mengenal pasti insiden. Selain fungsi pemantauan dan analisis peristiwa untuk mengenal pasti insiden, semua jenis IDS melaksanakan fungsi berikut:

  • Merekod maklumat tentang peristiwa. Biasanya, maklumat disimpan secara tempatan, tetapi boleh dihantar ke mana-mana sistem pengumpulan log berpusat atau sistem SIEM;
  • Memberitahu pentadbir keselamatan tentang insiden keselamatan maklumat. Pemberitahuan jenis ini dipanggil amaran, dan boleh dijalankan melalui beberapa saluran: e-mel, perangkap SNMP, mesej log sistem, konsol pengurusan sistem IDS. Reaksi boleh atur cara menggunakan skrip juga mungkin.
  • Menjana laporan. Laporan dibuat untuk meringkaskan semua maklumat mengenai acara yang diminta.

teknologi IPS melengkapkan teknologi IDS kerana ia boleh secara bebas bukan sahaja mengenal pasti ancaman, tetapi juga berjaya menyekatnya. Dalam senario ini, fungsi IPS jauh lebih luas daripada IDS:

  • IPS menyekat serangan (menamatkan sesi pengguna yang melanggar dasar keselamatan, menyekat akses kepada sumber, hos, aplikasi);
  • IPS mengubah persekitaran yang dilindungi (menukar konfigurasi peranti rangkaian untuk mengelakkan serangan);
  • IPS mengubah kandungan serangan (contohnya, ia mengalih keluar fail yang dijangkiti daripada surat dan menghantarnya kepada penerima yang telah dibersihkan, atau ia berfungsi sebagai proksi, menganalisis permintaan masuk dan membuang data dalam pengepala paket).

Tetapi selain kelebihan yang jelas, sistem ini mempunyai kelemahannya. Contohnya, IPS tidak boleh sentiasa mengenal pasti dengan tepat insiden keselamatan maklumat, atau tersilap tersilap trafik biasa atau gelagat pengguna untuk insiden. Dalam pilihan pertama, adalah kebiasaan untuk bercakap tentang peristiwa negatif palsu, dalam pilihan kedua, mereka bercakap tentang peristiwa positif palsu. Perlu diingat bahawa adalah mustahil untuk menghapuskan sepenuhnya kejadian mereka, jadi organisasi dalam setiap kes boleh secara bebas memutuskan mana antara dua kumpulan risiko sama ada harus diminimumkan atau diterima.

Terdapat pelbagai teknik pengesanan insiden menggunakan teknologi IPS. Kebanyakan pelaksanaan IPS menggunakan jumlah teknologi ini untuk menyediakan tahap pengesanan ancaman yang lebih tinggi.

1. Pengesanan serangan berasaskan tandatangan.

Tandatangan ialah corak yang mentakrifkan serangan yang sepadan. Pengesanan serangan berasaskan tandatangan ialah proses membandingkan tandatangan dengan kemungkinan kejadian. Contoh tandatangan ialah:

  • sambungan telnet oleh pengguna "root", yang akan menjadi pelanggaran dasar keselamatan syarikat tertentu;
  • e-mel masuk dengan subjek "gambar percuma", dengan fail yang dilampirkan "freepics.exe";
  • log sistem pengendalian dengan kod 645, yang menunjukkan bahawa pengauditan hos dilumpuhkan.

Kaedah ini sangat berkesan untuk mengesan ancaman yang diketahui, tetapi tidak berkesan terhadap serangan yang tidak diketahui (tiada tandatangan).

2. Pengesanan serangan oleh tingkah laku anomali

Kaedah ini adalah berdasarkan perbandingan aktiviti biasa kejadian dengan aktiviti peristiwa yang menyimpang daripada tahap normal. IPS menggunakan kaedah ini mempunyai apa yang dipanggil "profil" yang mencerminkan tingkah laku biasa pengguna, nod rangkaian, sambungan, aplikasi dan trafik. Profil ini dibuat semasa "tempoh latihan" sepanjang tempoh masa. Sebagai contoh, profil mungkin merekodkan peningkatan 13% dalam trafik web pada hari bekerja. Pada masa hadapan, IPS menggunakan kaedah statistik untuk membandingkan pelbagai ciri aktiviti sebenar dengan nilai ambang yang diberikan, apabila melebihi, mesej yang sepadan dihantar ke konsol pengurusan pegawai keselamatan. Profil boleh dibuat berdasarkan banyak atribut yang diambil daripada analisis tingkah laku pengguna. Sebagai contoh, dengan bilangan e-mel yang dihantar, bilangan percubaan yang tidak berjaya untuk log masuk ke sistem, tahap beban pemproses pelayan dalam tempoh masa tertentu, dsb. Akibatnya, kaedah ini membolehkan anda menyekat serangan dengan agak berkesan. yang memintas penapisan analisis tandatangan, dengan itu memberikan perlindungan terhadap serangan penggodam.

Teknologi IDS/IPS dalam ALTELL NEO

IDS/IPS yang digunakan oleh syarikat kami dalam tembok api ALTELL NEO generasi baharu adalah berdasarkan teknologi Suricata terbuka, yang sedang dibangunkan lagi selaras dengan tugas kami. Tidak seperti IDS/IPS Snort yang digunakan oleh pembangun lain, sistem yang kami gunakan mempunyai beberapa kelebihan, contohnya, ia membolehkan anda menggunakan GPU dalam mod IDS, mempunyai sistem IPS yang lebih maju, menyokong multitasking (yang memberikan prestasi yang lebih tinggi) , dan banyak lagi, termasuk termasuk sokongan penuh untuk format peraturan Snort.

Perlu dipertimbangkan bahawa untuk IDS/IPS berfungsi dengan betul, ia memerlukan pangkalan data tandatangan yang terkini. ALTELL NEO menggunakan Pangkalan Data Kerentanan Nasional terbuka dan Bugtraq untuk tujuan ini. Pangkalan data dikemas kini 2-3 kali sehari, yang memastikan tahap keselamatan maklumat yang optimum.

Sistem ALTELL NEO boleh beroperasi dalam dua mod: mod pengesanan pencerobohan (IDS) dan mod pencegahan pencerobohan (IPS). Fungsi IDS dan IPS didayakan pada antara muka peranti yang dipilih oleh pentadbir - satu atau lebih. Anda juga boleh memanggil fungsi IPS semasa mengkonfigurasi peraturan firewall untuk jenis trafik tertentu yang anda ingin imbas. Perbezaan fungsi antara IDS dan IPS ialah dalam mod IPS, serangan rangkaian boleh disekat dalam masa nyata.

Kefungsian sistem pengesanan dan pencegahan pencerobohan dalam ALTELL NEO

Fungsi Sokongan
1. Pengesanan kelemahan (eksploitasi) komponen ActiveX
2. Pengesanan trafik yang dihantar oleh hos pada rangkaian tempatan dalaman, ciri tindak balas selepas serangan yang berjaya
3. Mengesan trafik rangkaian daripada pelayan arahan dan kawalan botnet (Bot C&C)
4. Kesan trafik rangkaian yang berkaitan dengan protokol dan program pemesejan segera
5. Pengesanan trafik rangkaian daripada nod rangkaian yang terjejas
6. Pengesanan trafik rangkaian yang diarahkan ke pelayan DNS
7. Pengesanan trafik tipikal serangan penafian perkhidmatan (DoS, Penafian Perkhidmatan)
8. Pengesanan trafik rangkaian daripada hos pada senarai Spamhaus Drop
9. Pengesanan trafik rangkaian daripada hos yang merupakan sumber serangan yang diketahui berdasarkan senarai Dshield
10. Pengesanan trafik rangkaian tipikal program yang mengeksploitasi kelemahan (eksploit)
11. Pengesanan trafik yang dikaitkan dengan permainan komputer
12. Pengesanan trafik rangkaian ICMP yang dikaitkan dengan serangan rangkaian seperti pengimbasan port
13. Pengesanan ciri trafik rangkaian serangan pada perkhidmatan IMAP
14. Kesan trafik rangkaian tidak sah yang melanggar dasar keselamatan organisasi anda
15. Pengesanan trafik rangkaian tipikal program berniat jahat (perisian hasad)
16. Pengesanan trafik rangkaian biasa cacing rangkaian menggunakan protokol NetBIOS
17 . Pengesanan trafik rangkaian, program perkongsian fail peer-to-peer (P2P, rangkaian peer-to-peer)
18. Pengesanan aktiviti rangkaian yang mungkin bertentangan dengan dasar keselamatan organisasi (contohnya, trafik VNC atau penggunaan akses FTP tanpa nama)
19. Pengesanan trafik yang konsisten dengan serangan pada perkhidmatan POP3
20. Pengesanan trafik rangkaian daripada hos Rangkaian Perniagaan Rusia
21. Pengesanan serangan pada perkhidmatan RPC (panggilan prosedur jauh).
22. Mengesan trafik rangkaian daripada pengimbas port
23. Pengesanan paket yang mengandungi kod pemasangan, arahan peringkat rendah, juga dipanggil kod arahan (cth. serangan limpahan penimbal)
24. Pengesanan trafik yang konsisten dengan serangan ke atas perkhidmatan SMTP
25. Pengesanan trafik rangkaian SNMP
26. Penemuan peraturan untuk pelbagai program pangkalan data SQL
27. Mengesan trafik rangkaian protokol Telnet pada rangkaian
28. Pengesanan trafik rangkaian biasa bagi serangan TFTP (trivial FTP).
29. Kesan trafik yang berasal daripada pengirim menggunakan rangkaian Tor untuk mengekalkan kerahsiaan
30. Pengesanan trafik Trojan
31. Pengesanan serangan ke atas ejen pengguna
32. Ketersediaan tandatangan virus biasa (sebagai tambahan kepada enjin antivirus ALTELL NEO)
33. Pengesanan ciri trafik rangkaian serangan ke atas perkhidmatan VoIP
34. Pengesanan kelemahan (eksploitasi) untuk pelanggan web
35. Pengesanan serangan pada pelayan web
36. Mengesan serangan suntikan SQL
37. Pengesanan trafik rangkaian tipikal cacing rangkaian
38. Perlindungan terhadap serangan penggodam

Peraturan keselamatan dibangunkan dan dipertingkatkan oleh komuniti Ancaman Muncul dan berdasarkan pengalaman bertahun-tahun gabungan pakar dalam bidang perlindungan terhadap serangan rangkaian. Peraturan dikemas kini secara automatik melalui saluran selamat (untuk ini, sambungan Internet mesti dikonfigurasikan dalam ALTELL NEO). Setiap peraturan diberikan keutamaan mengikut kelas serangannya berdasarkan kekerapan penggunaan dan kepentingan. Tahap keutamaan standard berjulat dari 1 hingga 3, dengan keutamaan "1" adalah tinggi, keutamaan "2" adalah sederhana, dan keutamaan "3" adalah rendah.

Selaras dengan keutamaan ini, tindakan boleh ditetapkan bahawa sistem pengesanan dan pencegahan pencerobohan ALTELL NEO akan berfungsi dalam masa nyata apabila trafik rangkaian yang sepadan dengan tandatangan peraturan dikesan. Tindakan itu mungkin seperti berikut:

  • Amaran(mod ID) - trafik dibenarkan dan dimajukan kepada penerima. Amaran ditulis pada log peristiwa. Tindakan ini adalah lalai untuk semua peraturan;
  • Jatuhkan(Mod IPS) - analisis paket berhenti, tiada perbandingan lanjut dibuat untuk pematuhan peraturan yang tinggal. Paket dibuang dan amaran ditulis pada log;
  • Tolak(mod IPS) - dalam mod ini paket dibuang dan amaran ditulis pada log. Dalam kes ini, mesej yang sepadan dihantar kepada pengirim dan penerima paket;
  • lulus(mod IDS dan IPS) - dalam mod ini, analisis paket berhenti, dan perbandingan lanjut untuk pematuhan peraturan yang selebihnya tidak dilakukan. Paket dimajukan ke destinasinya dan tiada amaran dijana.

Laporan mengenai trafik yang melalui sistem pengesanan dan pencegahan pencerobohan ALTELL NEO boleh dijana dalam sistem pengurusan berpusat ALTELL NEO proprietari, yang mengumpul data awal (makluman) daripada satu atau lebih peranti ALTELL NEO.


Ujian percuma

Anda boleh menguji kefungsian sistem IDS/IPS terbina dalam ALTELL NEO dalam versi UTM secara percuma dengan mengisi aplikasi ringkas. Anda juga boleh memilih konfigurasi peranti (memori tambahan, modul pengembangan, versi perisian, dll.) dan mengira harga anggarannya menggunakan

Dmitry Volkov
Ketua Penyiasatan Insiden IT, Kumpulan-IB

Perkembangan moden IPS

Sistem pencegahan pencerobohan rangkaian (IPS) boleh menjadi sama ada alat yang berkesan untuk orang keselamatan atau perkakasan mahal yang terletak di sekeliling mengumpul habuk. Untuk memastikan sistem IPS tidak mengecewakan, sekurang-kurangnya ia mesti memenuhi keperluan berikut yang mesti diambil kira semasa memilihnya.

Sistem harus:

  1. mempunyai pelbagai model yang memenuhi keperluan kedua-dua pejabat serantau kecil dan perusahaan utama dengan rangkaian berbilang gigabit;
  2. menyokong bukan sahaja analisis tandatangan, tetapi juga analisis protokol anomali, dan, sudah tentu, analisis tingkah laku;
  3. memberikan gambaran yang jelas tentang rangkaian dan peranti yang disambungkan kepadanya;
  4. menyediakan kerja dalam mod IDS, menjalankan analisis tingkah laku, mempunyai alat untuk menjalankan penyiasatan;
  5. mempunyai pengurusan terpusat sistem IPS/IDS yang dipasang;
  6. mempunyai alat analisis yang baik untuk meningkatkan dasar keselamatan dengan berkesan.

Sistem IDS/IPS paling kerap disambungkan di mana terdapat sumber kritikal. Tetapi sebagai tambahan kepada fakta bahawa adalah perlu untuk menyekat serangan ke atas sumber ini, anda harus sentiasa memantaunya, iaitu: mengetahui sumber mana yang terdedah dan bagaimana tingkah laku mereka pada rangkaian berubah. Oleh itu, adalah perlu untuk menambah fungsi tambahan kepada sistem IDS/IPS, membolehkan mereka melindungi sumber yang diperlukan dengan lebih dipercayai, sambil mengurangkan kos pemilikan. Jadi, perlindungan boleh dijalankan dalam tiga fasa - IPS, IPS Adaptif, Pengurusan Ancaman Perusahaan. Kefungsian setiap fasa berikutnya merangkumi semua fungsi dari fasa sebelumnya dan dikembangkan dengan yang baharu.


Fasa 1: Anda boleh memantau dan/atau menyekat serangan yang mengeksploitasi beribu-ribu kelemahan, iaitu, penderia IPS standard dan pusat kawalannya.

Fasa 2. Ia menjadi mungkin untuk meneroka rangkaian, mengutamakan acara dan mengautomasikan konfigurasi IPS.

Fasa 3. Kefungsian penuh yang mungkin untuk melindungi rangkaian korporat sebelum, semasa dan selepas serangan.

ETM ialah manifestasi pertama kesedaran bahawa melindungi aset maklumat memerlukan kerja lebih bijak, bukan lebih keras. Dari perspektif teknologi, ETM ialah gabungan empat teknologi pengurusan ancaman dan kerentanan digabungkan menjadi satu penyelesaian yang diuruskan secara berpusat. Akibatnya, penyelesaian ini menyediakan lebih banyak keupayaan daripada setiap produk sahaja. Seperti yang ditunjukkan dalam Rajah. 3, ETM terdiri daripada sistem pencegahan pencerobohan (IPS), analisis tingkah laku rangkaian (NBA), kawalan akses rangkaian (NAC), analisis kelemahan (VA), subsistem komunikasi dan pengurusan berpusat.

Perbandingan pengeluar IPS

Dalam Rajah. Rajah 4 menunjukkan yang mana pengeluar sistem IPS mendahului. Tetapi, tanpa terikat dengan Gartner, mari kita lihat fungsi yang ada pada setiap pengeluar.

Seperti yang anda boleh lihat, sesetengahnya tiada ciri penting seperti penyiasatan peringkat kelompok dan melihat dan membuat peraturan. Tanpa keupayaan sedemikian, kadangkala tidak jelas sepenuhnya mengapa sistem mengeluarkan amaran, dan ia akan mengambil banyak masa untuk mengetahui sebab amaran ini.

Kekurangan mekanisme untuk mewujudkan dasar pematuhan juga mengenakan had tertentu. Contohnya, dalam audit luaran adalah berguna untuk menunjukkan cara dasar anda sebenarnya dilaksanakan. Komen lanjut adalah tidak perlu, kerana keadaan sebenar akan menjadi jelas hanya selepas pelaksanaan sebenar dalam persekitaran industri.

Perlu diingat bahawa memastikan keselamatan rangkaian adalah tugas yang kompleks, dan penyelesaian yang berbeza tidak selalu memastikan integriti persepsi dan membawa kepada kos tambahan.

Ulasan ringkas

Sistem Cisco

Penyelesaian yang boleh dipercayai mempunyai sokongan yang sangat baik, tetapi sukar untuk dikonfigurasikan, analisis tandatangan memberikan banyak positif palsu, dan antara muka pengurusan tidak membenarkan analisis yang mencukupi bagi peristiwa yang direkodkan apabila terdapat sejumlah besar peristiwa. Untuk kefungsian penuh, pelaburan tambahan dalam Sistem Pemantauan, Analisis dan Respons Keselamatan Cisco (CS-MARS) diperlukan.

Titik Tipping

Sistem pengeluar ini mudah dikonfigurasikan dan dipasang. Mereka mempunyai antara muka kawalan yang baik, tetapi hanya boleh disambungkan dalam jurang, iaitu, tanpa pengesanan pasif. Mereka tidak membenarkan anda mengembangkan fungsi dan hanyalah sistem IDS/IPS.

Pada salah satu persidangan, wakil dari TippingPoint berkata dalam ucapannya bahawa peralatan mereka boleh ditetapkan dan dilupakan - dan ini adalah strategi keselamatan mereka.

Mungkin seseorang berkongsinya, tetapi sukar untuk saya bersetuju dengannya. Sebarang alat keselamatan mesti dikawal, jika tidak, anda tidak akan mendapat pulangan yang sepatutnya daripadanya. Sebagai contoh, jika seseorang secara berterusan cuba menggodam portal afiliasi anda dan dia gagal melakukannya dua kali pertama terima kasih kepada sistem IPS, maka kali ketiga dia akan berjaya, dan tanpa memantau sistem IPS anda tidak akan mengetahui perkara ini dan menghalang yang berikutnya. percubaan anda tidak akan berjaya.

Rangkaian Juniper

Tidak kira apa yang ditulis oleh penganalisis dari Gartner atau penerbitan lain, sukar untuk mengatakan sesuatu yang baik tentang produk mereka. Sistem ini sangat sukar untuk disediakan. Konsol pengurusan NSM adalah sangat terhad. Hasilnya dipaparkan sedemikian rupa sehingga seseorang mendapat tanggapan bahawa pembangun cuba memastikan bahawa mereka melihatnya sesedikit mungkin dan berharap serangan itu benar-benar ditangkis.

Sourcefire

Mungkin sistem terbaik. Semuanya selesa. Fungsinya sangat luas. Di samping itu, sistem sudah mempunyai keupayaan terbina dalam untuk pengumpulan data terperinci tentang serangan dan nod yang diserang, dan bukan hanya alamat IP dan MAC, yang sangat mengurangkan masa analisis dan analisis peristiwa. Maklumat sedemikian juga termasuk sejarah sambungan, dibuka dan kemudian
port tertutup, jenis alamat yang dihantar, nama pengguna jika, sebagai contoh, pemindahan melalui FTP atau e-mel, dan, sudah tentu, alamat e-mel itu sendiri. Dalam rangkaian besar ia boleh menjadi cara perlindungan yang sangat diperlukan. Mereka telah mengeluarkan penyelesaian mereka sejak 2001, tetapi baru-baru ini memasuki pasaran Rusia.

Kesimpulan

Tidak ada gunanya memperkenalkan satu siri produk baharu yang menyelesaikan satu masalah sahaja. Kawalan keselamatan statik tidak dapat melindungi persekitaran yang dinamik. Ia adalah perlu untuk melindungi masa dan usaha pekerja anda. Biarkan mereka bekerja lebih baik, bukan lebih keras. Kurangkan kos untuk menyokong persekitaran yang heterogen. Kurangkan masa yang digunakan untuk menganalisis data daripada berbilang konsol dan laporan. Belanjakan wang anda dengan bijak sebelum sistem keselamatan anda menanggung kos lebih tinggi daripada risiko yang anda lindungi.



ARTIKEL BERKAITAN