Moderne elektronische apparaten zijn bijna universeel. Een smartphone kan bijvoorbeeld niet alleen uitstekend overweg met oproepen (ontvangen en maken), maar ook met de mogelijkheid om op internet te surfen, naar muziek te luisteren, video's te bekijken of boeken te lezen. Voor dezelfde taken is een tablet geschikt. Het scherm is een van de belangrijkste onderdelen van de elektronica, vooral als het aanraakgevoelig is en niet alleen dient voor het weergeven van bestanden, maar ook voor bediening. Laten we kennis maken met de kenmerken van displays en de technologieën die worden gebruikt om ze te maken. Laten we speciale aandacht besteden aan wat een IPS-scherm is, wat voor soort technologie het is en wat de voordelen ervan zijn.

Hoe werkt een LCD-scherm?

Laten we eerst eens kijken hoe moderne apparatuur is uitgerust. Ten eerste is het een actieve matrix. Het bestaat uit microfilmtransistoren. Dankzij hen wordt het beeld gevormd. Ten tweede is dit een laag vloeibare kristallen. Ze zijn uitgerust met lichtfilters en creëren R-, G-, B-subpixels. Ten derde is dit het schermverlichtingssysteem, waarmee u het beeld zichtbaar kunt maken. Het kan fluorescerend of LED zijn.

Kenmerken van IPS-technologie

Strikt genomen is de IPS-matrix een type TFT-technologie die wordt gebruikt om LCD-schermen te maken. TFT verwijst vaak naar monitoren die zijn geproduceerd met behulp van de TN-TFT-methode. Op basis hiervan kunnen ze vergeleken worden. Laten we, om vertrouwd te raken met de fijne kneepjes van het kiezen van elektronica, uitzoeken wat IPS-schermtechnologie is en wat dit concept betekent. Het belangrijkste dat deze beeldschermen onderscheidt van TN-TFT is de opstelling van de vloeibare kristalpixels. In het tweede geval zijn ze spiraalvormig gerangschikt, onder een hoek van negentig graden horizontaal tussen de twee platen. In het eerste geval (wat ons het meest interesseert) bestaat de matrix uit dunnefilmtransistors. Bovendien bevinden de kristallen zich parallel aan elkaar langs het schermvlak. Als er geen spanning op staat, draaien ze niet. Bij TFT bestuurt elke transistor één punt van het scherm.

Het verschil tussen IPS en TN-TFT

Laten we IPS eens nader bekijken en wat het is. Monitoren die met deze technologie zijn gemaakt, hebben veel voordelen. Allereerst heeft het een uitstekende kleurweergave. Het hele kleurengamma is helder en realistisch. Dankzij de brede kijkhoek vervaagt het beeld niet, vanuit welke hoek je er ook naar kijkt. Monitoren hebben een hoger en duidelijker contrast, omdat zwarttinten simpelweg perfect worden weergegeven. Je kunt de volgende nadelen constateren die het IPS-schermtype heeft. Dat dit in de eerste plaats een hoog energieverbruik is, is een aanzienlijk nadeel. Bovendien zijn apparaten die met dergelijke schermen zijn uitgerust duur, omdat de productie ervan erg duur is. Dienovereenkomstig hebben TN-TFT's diametraal tegenovergestelde kenmerken. Ze hebben een kleinere kijkhoek en wanneer het gezichtspunt verandert, wordt het beeld vervormd. Ze zijn niet erg handig om in de zon te gebruiken. Het beeld wordt donker en verblinding interfereert. Dergelijke beeldschermen reageren echter snel, verbruiken minder stroom en zijn betaalbaar. Daarom worden dergelijke monitoren geïnstalleerd in budgetelektronicamodellen. We kunnen dus concluderen in welke gevallen een IPS-scherm geschikt is, dat dit geweldig is voor liefhebbers van film, fotografie en video. Vanwege hun minder reactievermogen worden ze echter niet aanbevolen voor fans van snelle computerspellen.

Ontwikkelingen van toonaangevende bedrijven

De IPS-technologie zelf is ontwikkeld door het Japanse bedrijf Hitachi samen met NEC. Nieuw was de opstelling van de vloeibare kristallen: niet in een spiraal (zoals bij TN-TFT), maar parallel aan elkaar en langs het scherm. Hierdoor produceert zo’n monitor kleuren die helderder en meer verzadigd zijn. Het beeld is zelfs in de open zon zichtbaar. De kijkhoek van de IPS-matrix is ​​honderdachtenzeventig graden. Je kunt vanuit elk punt naar het scherm kijken: onder, boven, rechts, links. Het beeld blijft helder. Populaire tablets met IPS-schermen worden geproduceerd door Apple; ze zijn gemaakt op een IPS Retina-matrix. Eén inch gebruikt een verhoogde pixeldichtheid. Hierdoor is het beeld op het display korrelvrij en worden kleuren vloeiend weergegeven. Volgens de ontwikkelaars merkt het menselijk oog geen microdeeltjes op als de pixels groter zijn dan 300 ppi. Tegenwoordig worden apparaten met IPS-schermen betaalbaarder en beginnen budgetelektronica-modellen ermee te worden uitgerust. Er worden nieuwe soorten matrices gemaakt. Bijvoorbeeld MVA/PVA. Ze hebben een snelle respons, brede kijkhoeken en een uitstekende kleurweergave.

Apparaten met multi-touchscreen

Onlangs zijn elektronische apparaten met aanraakbediening enorm populair geworden. En het zijn niet alleen smartphones. Ze produceren laptops en tablets met een IPS-touchscreen, waarmee bestanden en afbeeldingen worden beheerd. Dergelijke apparaten zijn onmisbaar voor het werken met video's en foto's. Afhankelijk van het type zijn er compacte en volformaat apparaten. multi-touch kan tien aanrakingen tegelijk herkennen, dat wil zeggen dat je met twee handen tegelijk op zo'n monitor kunt werken. Kleine mobiele apparaten, zoals 7-inch smartphones of tablets, herkennen vijf aanrakingen. Dit is voldoende als je smartphone een klein IPS-scherm heeft. Veel kopers van compacte apparaten hebben gewaardeerd dat dit erg handig is.

In dit artikel leert u enkele algemeen bekende en weinig bekende kenmerken van systemen voor aanvalspreventie kennen.

Wat is een aanvalspreventiesysteem?

Aanvalspreventiesystemen (Inbraakpreventiesystemen, kortweg IPS) zijn een ontwikkeling van aanvalsdetectiesystemen (Inbraakdetectiesystemen, kortweg IDS). IDS detecteerde aanvankelijk alleen bedreigingen door te luisteren naar het verkeer op het netwerk en op hosts, en stuurde vervolgens op verschillende manieren waarschuwingen naar de beheerder. IPS blokkeert nu aanvallen onmiddellijk op het moment dat ze worden gedetecteerd, hoewel ze ook in de IDS-modus kunnen werken - alleen door problemen te melden.

Soms wordt IPS-functionaliteit opgevat als de gezamenlijke werking van zowel IDS als firewall in één apparaat. Dit wordt vaak veroorzaakt door het feit dat sommige IPS ingebouwde regels hebben voor het blokkeren van pakketten op basis van de bron- en bestemmingsadressen. Dit is echter geen firewall. In een firewall hangt het blokkeren van verkeer volledig af van uw vermogen om regels te configureren, en bij IPS van het vermogen van de programmeurs van de fabrikant om foutloze algoritmen te schrijven voor het zoeken naar aanvallen in verkeer dat door het netwerk beweegt. Er is nog een “overeenkomst”: de firewalltechnologie, bekend als statefull inspection, lijkt sterk op een van de technologieën die in IPS worden gebruikt om te identificeren of verschillende verbindingen tot hetzelfde netwerkprotocol behoren, en hier wordt dit poortvolging genoemd. Er zijn nog veel meer verschillen. Firewall kan bijvoorbeeld geen tunneling van het ene protocol naar het andere detecteren, maar IPS wel.

Een ander verschil tussen de theorie van het bouwen van een IPS en een firewall is dat wanneer een apparaat uitvalt, de IPS verkeer moet doorlaten en de firewall verkeer moet BLOKKEREN. Om in de juiste modus te kunnen werken, is er een zogenaamde bypass-module in de IPS ingebouwd. Dankzij dit systeem stroomt het verkeer ongehinderd door het apparaat, zelfs als u per ongeluk de IPS-stroom uitschakelt. Soms is IPS ook geconfigureerd om verkeer te blokkeren als het mislukt, maar dit zijn speciale gevallen, die meestal worden gebruikt wanneer twee apparaten in de High Avalability-modus worden gebruikt.
IPS is een veel complexer apparaat dan een firewall. IPS wordt gebruikt voor dreigingen waar laatstgenoemde niet mee om kan gaan. IPS bevat de geconcentreerde kennis van een groot aantal beveiligingsspecialisten die patronen hebben geïdentificeerd en gevonden en vervolgens code hebben geprogrammeerd die problemen identificeert in de vorm van regels voor het analyseren van inhoud die over het netwerk beweegt.

IPS in bedrijfsnetwerken maken deel uit van een meerlaagse verdediging omdat ze zijn geïntegreerd met andere beveiligingstools: firewalls, beveiligingsscanners, incidentbeheersystemen en zelfs antivirussen. Als gevolg hiervan zijn er nu voor elke aanval mogelijkheden om deze niet alleen te identificeren en vervolgens de beheerder op de hoogte te stellen of te blokkeren, maar ook om een ​​volledige analyse van het incident uit te voeren: verzamel pakketten die afkomstig zijn van de aanvaller, start een onderzoek en elimineer de aanval. kwetsbaarheid door het pakket aan te passen.

In combinatie met een goed security management systeem wordt het mogelijk om de acties van de netwerkbeheerder zelf te controleren, die niet alleen de kwetsbaarheid moet wegnemen, bijvoorbeeld door een patch te installeren, maar ook aan het systeem moet rapporteren over de verrichte werkzaamheden. Wat in het algemeen een tastbare betekenis gaf aan de werking van dergelijke systemen. Wat heeft het voor zin om over problemen op het netwerk te praten als niemand op deze problemen reageert en er niet verantwoordelijk voor is? Iedereen kent dit eeuwige probleem: degene die verliezen lijdt door verstoring van het computersysteem en degene die dit systeem beschermt, zijn verschillende mensen. Tenzij we een extreem geval beschouwen, bijvoorbeeld een thuiscomputer die is aangesloten op internet.

Verkeersvertragingen

Aan de ene kant is het goed dat het niet alleen mogelijk is om informatie over een lopende aanval te ontvangen, maar deze ook met het apparaat zelf te blokkeren. Maar aan de andere kant moet het aanvalspreventiesysteem niet op de SPAN-poort van de switch worden geïnstalleerd, maar via al het netwerkverkeer rechtstreeks via het beveiligingsapparaat zelf, wat onvermijdelijk vertragingen introduceert in de doorgang van pakketten door het netwerk. En in het geval van VoIP is dit van cruciaal belang, maar als je je wilt beschermen tegen aanvallen op VoIP, is er geen andere manier om je tegen dergelijke aanvallen te beschermen.

Een van de kenmerken waarop u bij aanschaf een aanvalspreventiesysteem moet beoordelen, is dus de hoeveelheid netwerkvertraging die dergelijke systemen onvermijdelijk met zich meebrengen. In de regel kunt u deze informatie bij de fabrikant zelf verkrijgen, maar u kunt ook onderzoek lezen van onafhankelijke testlaboratoria, zoals NSS. Vertrouwen op de fabrikant is één ding, maar het zelf controleren is iets anders.

Aantal valse positieven

Het tweede kenmerk waar u naar moet kijken, is het aantal valse positieven. Net zoals wij ons ergeren aan spam, hebben valse positieven hetzelfde effect op beveiligingsbeheerders. Uiteindelijk stoppen beheerders, om hun psyche te beschermen, gewoon met het reageren op alle berichten van het systeem en wordt het kopen ervan geldverspilling. Een typisch voorbeeld van een systeem met een groot aantal false positives is SNORT. Om dit systeem min of meer adequaat te configureren specifiek voor de dreigingen in uw netwerk, moet u veel tijd besteden.

Sommige systemen voor het detecteren en voorkomen van aanvallen hebben ingebouwde correlatiemethoden die gedetecteerde aanvallen rangschikken op basis van ernst met behulp van informatie uit andere bronnen, zoals een beveiligingsscanner. Als een beveiligingsscanner bijvoorbeeld ziet dat de computer SUN Solaris en Oracle draait, kunnen we met honderd procent zekerheid zeggen dat de Slammer-wormaanval (die zich richt op MS SQL) niet zal werken op deze server. Dergelijke correlatiesystemen markeren sommige aanvallen dus als mislukt, wat het werk van de beheerder enorm vergemakkelijkt.

Moderniteit van beschermende technologieën

Het derde kenmerk zijn methoden voor het detecteren (en tegelijkertijd blokkeren) van aanvallen en de mogelijkheid om deze af te stemmen op de vereisten van uw netwerk. In eerste instantie zijn er twee verschillende benaderingen: op handtekeningen gebaseerde IPS zoekt naar aanvallen op basis van eerder gevonden exploits, en op protocolanalyse gebaseerde IPS zoekt naar aanvallen op basis van kennis van eerder gevonden kwetsbaarheden. Als u een nieuwe exploit voor dezelfde kwetsbaarheid schrijft, zal IPS van de eerste klasse deze niet detecteren en blokkeren, maar IPS van de tweede klasse zal deze detecteren en blokkeren. Klasse II IPS is veel effectiever omdat het hele soorten aanvallen blokkeert. Als gevolg hiervan heeft de ene fabrikant honderd handtekeningen nodig om alle typen van dezelfde aanval te detecteren, terwijl de andere fabrikant slechts één regel nodig heeft die de kwetsbaarheid analyseert van het protocol of gegevensformaat dat door al dit soort aanvallen wordt gebruikt. Recentelijk is de term preventieve bescherming verschenen. Het omvat ook de mogelijkheid om te beschermen tegen aanvallen die nog niet bekend zijn en bescherming tegen aanvallen die al bekend zijn, maar de fabrikant heeft nog geen patch uitgebracht. Over het algemeen is het woord ‘preventief’ gewoon een ander Amerikanisme. Er is een meer Russische term: ‘tijdig’: de bescherming die werkt voordat we worden gehackt of geïnfecteerd, en niet daarna. Dergelijke technologieën bestaan ​​al en moeten worden gebruikt. Vraag de fabrikant bij aankoop: welke preventieve beschermingstechnologieën zij gebruiken en u zult alles begrijpen.

Helaas zijn er nog geen systemen die tegelijkertijd twee bekende aanvalsanalysemethoden gebruiken: protocolanalyse (of handtekeninganalyse) en gedragsanalyse. Voor volledige bescherming moet u daarom minimaal twee apparaten op het netwerk installeren. Eén apparaat zal algoritmen gebruiken om naar kwetsbaarheden te zoeken met behulp van handtekeningen en protocolanalyse. Een ander zal statistische en analytische methoden gebruiken om afwijkingen in het gedrag van netwerkstromen te analyseren. Op handtekeningen gebaseerde methoden worden nog steeds gebruikt in veel systemen voor het detecteren en voorkomen van aanvallen, maar zijn helaas niet gerechtvaardigd. Ze bieden geen proactieve bescherming omdat er een exploit nodig is om een ​​handtekening vrij te geven. Waarom heb je nu een handtekening nodig als je al bent aangevallen en het raster is doorbroken? Kenmerkende antivirusprogramma's kunnen nu om dezelfde reden niet omgaan met nieuwe virussen: de reactiviteit van de bescherming. Daarom zijn de meest geavanceerde aanvalsanalysemethoden nu volledige protocolanalyse. Het idee van deze methode is dat er niet een specifieke aanval wordt geanalyseerd, maar een teken van misbruik van een kwetsbaarheid door de aanvaller waarnaar in het protocol zelf wordt gezocht. Het systeem kan bijvoorbeeld nagaan of er vóór de start van een TCP-aanvalspakket een uitwisseling van drie pakketten heeft plaatsgevonden om een ​​TCP-verbinding tot stand te brengen (pakketten met de vlaggen SYN, SYN+ACK, ACK). Als er een verbinding tot stand moet worden gebracht voordat een aanval kan worden uitgevoerd, zal het protocolanalysesysteem controleren of die er is geweest en als er een pakket met een aanval wordt verzonden zonder dat er een verbinding tot stand is gebracht, zal het vaststellen dat een dergelijke aanval niet succesvol is geweest omdat er geen verbinding was. verbinding. Maar het handtekeningsysteem zal een vals positief resultaat geven, omdat het niet over een dergelijke functionaliteit beschikt.

Gedragssystemen werken totaal anders. Ze analyseren het netwerkverkeer (bijvoorbeeld ongeveer een week) en onthouden welke netwerkstromen doorgaans optreden. Zodra er verkeer verschijnt dat niet overeenkomt met het herinnerde gedrag, is het duidelijk dat er iets nieuws aan de hand is op het netwerk: bijvoorbeeld de verspreiding van een nieuwe worm. Bovendien zijn dergelijke systemen verbonden met een updatecentrum en ontvangen ze eens per uur of vaker nieuwe regels voor het gedrag van wormen en andere updates, bijvoorbeeld lijsten met phishing-sites, waardoor ze deze onmiddellijk kunnen blokkeren, of lijsten met botnets managementhosts, waardoor ze onmiddellijk infecties van een host kunnen detecteren zodra deze probeert verbinding te maken met het controlecentrum van het botnetwerk, enz.

Zelfs het verschijnen van een nieuwe host op het netwerk is een belangrijke gebeurtenis voor het gedragssysteem: je moet uitzoeken wat voor soort host het is, wat erop is geïnstalleerd, of er kwetsbaarheden zijn, of misschien zal de nieuwe host dat zelf wel zijn. een aanvaller. Voor aanbieders zijn dergelijke gedragssystemen belangrijk omdat ze hen in staat stellen veranderingen in de ‘vrachtstroom’ te volgen, omdat het voor de aanbieder belangrijk is om de snelheid en betrouwbaarheid van de pakketbezorging te garanderen, en als plotseling in de ochtend blijkt dat alle verkeer gaat via één kanaal en past er niet in, en de rest meerdere kanalen naar internet via andere providers zijn ongebruikt, dit betekent dat ergens de instellingen verkeerd zijn gegaan en dat we moeten beginnen met het balanceren en herverdelen van de belasting.
Voor de eigenaar van een klein netwerk is het belangrijk dat er geen aanvallers in zitten, zodat het netwerk niet op de zwarte lijst komt te staan ​​van spammers, zodat aanvallers niet het hele internetkanaal verstoppen met rommel. Maar voor het internetkanaal en het verkeer moet u geld betalen aan de aanbieder. Elke bedrijfsleider wil graag onmiddellijk geld verspillen aan verkeer dat nutteloos is voor het bedrijfsleven.

Analyseerde protocollen en dataformaten

Als we het hebben over technische specialisten die beslissen welk aanvalspreventiesysteem ze moeten kiezen, dan moeten ze vragen stellen over de specifieke protocollen die het systeem analyseert. Misschien bent u geïnteresseerd in iets specifieks: bijvoorbeeld het analyseren van aanvallen in javascript, of het afweren van sql-injectiepogingen, of DDoS-aanvallen, of beschikt u over het algemeen over een SCADA (sensorcontrole- en beheersysteem) en moet u de protocollen van uw gespecialiseerde systeem analyseren, of het is van cruciaal belang dat u VoIP-protocollen beschermt, die vanwege hun complexiteit al implementatiekwetsbaarheden kennen.
Bovendien weet niet iedereen dat IPS-gebeurtenissen niet alleen van het type ‘aanval’ zijn, maar dat er ook typen ‘audit’ en ‘status’ zijn. IPS kan bijvoorbeeld verbindingen en alle ICQ-berichten opvangen. Als uw beveiligingsbeleid ICQ verbiedt, is het gebruik ervan een aanval. Zo niet, dan kun je eenvoudig alle verbindingen volgen en wie met wie communiceert. Of schakel deze handtekening gewoon uit als u denkt dat deze niet klopt.

Specialisten

De vraag rijst: waar kunnen we zulke specialisten vandaan halen die begrijpen wat er gekocht moet worden, en die dan weten hoe te reageren op elk bericht van het aanvalspreventiesysteem en het zelfs kunnen configureren. Het is duidelijk dat je cursussen kunt volgen om te leren hoe je een dergelijk systeem moet beheren, maar in werkelijkheid moet iemand eerst netwerkprotocollen begrijpen, vervolgens netwerkaanvallen en vervolgens reactiemethoden. Maar zulke cursussen bestaan ​​niet. Dit vereist ervaring. Er zijn bedrijven die outsourcing aanbieden voor het beheren en analyseren van berichten die worden ontvangen van beveiligingssysteemconsoles. Ze hebben al vele jaren specialisten in dienst die de internetbeveiliging begrijpen en diepgaand begrijpen en die effectieve bescherming bieden, en u hoeft op uw beurt de hoofdpijn weg te nemen van het vinden van personeel dat de hele verscheidenheid aan beschikbare beveiligingshulpmiddelen begrijpt, van VPN naar antivirusprogramma's. Bovendien gaat het bij uitbesteding om 24/7 monitoring, zeven dagen per week, zeven dagen per week, zodat de bescherming compleet is. En meestal kunt u een specialist alleen inhuren om van maandag tot en met vrijdag van 9 tot 18 uur te werken, en soms wordt hij ziek, studeert, gaat naar conferenties, gaat op zakenreis en stopt soms onverwachts.

Productondersteuning

Het is belangrijk om een ​​dergelijk punt in IPS te benadrukken als de ondersteuning van zijn producten door de fabrikant. Helaas zijn updates van algoritmen, handtekeningen en regels nog steeds nodig, omdat technologieën en aanvallers niet stil staan ​​en nieuwe soorten kwetsbaarheden in nieuwe technologieën voortdurend moeten worden gesloten. Jaarlijks worden er enkele duizenden kwetsbaarheden gevonden. Uw software en hardware bevatten er zeker meerdere. Hoe kwam u achter de kwetsbaarheden daarin en hoe heeft u uzelf later beschermd? Maar we hebben voortdurend toezicht nodig op de relevantie van de bescherming. Een belangrijk onderdeel is daarom de voortdurende ondersteuning van de beveiligingstools waaraan u de veiligheid van uw bedrijf hebt toevertrouwd: de aanwezigheid van een professioneel team dat voortdurend nieuwe kwetsbaarheden in de gaten houdt en tijdig nieuwe controles uitschrijft, dat zelf op zoek gaat naar kwetsbaarheden in om aanvallers voor te blijven. Koop je dus een complex systeem als IPS, kijk dan welke ondersteuning de fabrikant biedt. Het zou nuttig zijn om te weten hoe goed en tijdig hij omging met aanvallen die in het verleden al hadden plaatsgevonden.

Bescherming tegen IPS-bypass-methoden

De IPS zelf is erg moeilijk aan te vallen omdat deze geen IP-adres heeft. (IPS wordt beheerd via een aparte beheerpoort.) Er zijn echter methoden om IPS te omzeilen, waardoor u deze kunt ‘misleiden’ en de netwerken kunt aanvallen die ze beschermen. Deze methoden worden in detail beschreven in de populaire literatuur. Zo maakt het NSS-testlab actief gebruik van bypass-methoden om IPS te testen. Het is voor IPS-fabrikanten moeilijk om deze methoden tegen te gaan. En hoe de fabrikant omgaat met bypass-methoden is een ander interessant kenmerk van het aanvalspreventiesysteem.

Het belang van het gebruik van IPS in bedrijfsnetwerken is al lang geleden; er zijn al nieuwe preventieve technologieën ontwikkeld die organisaties tegen nieuwe aanvallen beschermen, dus het enige dat overblijft is het correct installeren en gebruiken ervan. Het artikel vermeldde specifiek de namen van fabrikanten niet om de beoordeling van IPS-eigenschappen zo onbevooroordeeld mogelijk te maken.

Momenteel zijn er talloze verschillende soorten malware. Experts op het gebied van antivirussoftware zijn zich er terdege van bewust dat oplossingen die uitsluitend zijn gebaseerd op databases met viruskenmerken, niet effectief kunnen zijn tegen bepaalde soorten bedreigingen. Veel virussen kunnen zich aanpassen en de grootte en namen van bestanden, processen en services wijzigen.

Als het potentiële gevaar van een bestand niet door externe signalen kan worden opgemerkt, kunt u aan de hand van het gedrag ervan de kwaadaardige aard ervan vaststellen. Het is een gedragsanalyse die wordt uitgevoerd door het Host Inbraakpreventiesysteem (HIPS).

HIPS is gespecialiseerde software die bestanden, processen en services controleert op verdachte activiteiten. Met andere woorden: proactieve HIPS-bescherming wordt gebruikt om malware te blokkeren op basis van het criterium van uitvoering van gevaarlijke code. Dankzij het gebruik van technologie kunt u een optimale systeembeveiliging handhaven zonder dat u databases hoeft bij te werken.

HIPS en firewalls zijn nauw verwante componenten. Terwijl een firewall inkomend en uitgaand verkeer controleert op basis van regels, regelt HIPS het opstarten en functioneren van processen op basis van wijzigingen die aan de computer worden aangebracht volgens controleregels.

HIPS-modules beschermen uw computer tegen bekende en onbekende soorten bedreigingen. Wanneer verdachte acties worden uitgevoerd door malware of een aanvaller, blokkeert HIPS deze activiteit, waarschuwt de gebruiker en biedt verdere oplossingen. Op welke veranderingen richt HIPS zich precies?

Hier is een ruwe lijst van activiteiten die HIPS nauwlettend in de gaten houdt:

Beheer andere geïnstalleerde programma's. Bijvoorbeeld het verzenden van e-mails met een standaard e-mailclient of het starten van bepaalde pagina's in uw standaardbrowser;

Pogingen om wijzigingen aan te brengen in bepaalde systeemregistervermeldingen, zodat een programma start wanneer bepaalde gebeurtenissen plaatsvinden;

Andere programma's beëindigen. Bijvoorbeeld het uitschakelen van de antivirusscanner;

Apparaten en stuurprogramma's installeren die vóór andere programma's worden uitgevoerd;

Interprocessor-geheugentoegang waarmee kwaadaardige code in een vertrouwd programma kan worden geïnjecteerd

Wat kun je verwachten van een succesvolle HIPS?

HIPS moet voldoende autoriteit hebben om te voorkomen dat de malware actief is. Als gebruikersbevestiging vereist is om een ​​gevaarlijk programma te stoppen, is het systeem niet effectief. Een inbraakpreventiesysteem moet een specifieke set regels hebben die de gebruiker kan toepassen. Bewerkingen voor het maken van nieuwe regels moeten beschikbaar zijn (hoewel er bepaalde uitzonderingen moeten zijn). De gebruiker moet bij het werken met HIPS de gevolgen van zijn wijzigingen duidelijk begrijpen. Anders kunnen er conflicten ontstaan ​​tussen de software en het systeem. Aanvullende informatie over de werking van het inbraakpreventiesysteem is te vinden op gespecialiseerde forums of in het antivirus-helpbestand.

Normaal gesproken werkt de HIPS-technologie wanneer het proces begint. Het onderbreekt acties terwijl ze worden uitgevoerd. Er zijn echter HIPS-producten met voorlopige detectie, waarbij het potentiële gevaar van een uitvoerbaar bestand wordt vastgesteld voordat het wordt gestart.

Zijn er risico's?

De risico's die gepaard gaan met HIPS zijn valse positieven en onjuiste gebruikersbeslissingen. Het systeem is verantwoordelijk voor bepaalde wijzigingen die door andere programma's worden uitgevoerd. HIPS houdt bijvoorbeeld altijd het registerpad bij HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, verantwoordelijk voor het automatisch laden van programma's bij het opstarten van het systeem.

Het is duidelijk dat veel veilige programma's deze registervermelding gebruiken om automatisch te starten. Wanneer er wijzigingen worden aangebracht in deze sleutel, zal HIPS de gebruiker om verdere actie vragen: wijzigingen toestaan ​​of weigeren. Heel vaak klikken gebruikers eenvoudigweg op toestaan ​​zonder zich in de informatie te verdiepen, vooral als ze op dat moment nieuwe software installeren.

Sommige HIPS informeren over soortgelijke beslissingen van andere gebruikers, maar bij een klein aantal zijn ze niet relevant en kunnen ze misleidend zijn voor de gebruiker. We kunnen alleen maar hopen dat de meeste gebruikers vóór u de juiste keuze hebben gemaakt. Het systeem werkt uitstekend bij het identificeren van potentieel gevaar en het weergeven van een alarmbericht. Bovendien kan de gebruiker, zelfs als HIPS de dreiging correct heeft geïdentificeerd, de verkeerde actie uitvoeren en daardoor de pc infecteren.

Conclusie: HIPS is een belangrijk element van meerlaagse bescherming. Het wordt ook aanbevolen om andere beveiligingsmodules met het systeem te gebruiken. Om de HIPS optimaal en effectief te laten functioneren, moet de gebruiker over bepaalde kennis en kwalificaties beschikken.

Gebaseerd op de Malwarebytes Unpacked-blog

Een typefout gevonden? Markeer en druk op Ctrl + Enter

Tegenwoordig zijn inbraakdetectie- en -preventiesystemen (IDS/IPS, Inbraakdetectiesysteem / Inbraakpreventiesysteem, soortgelijke Russische term - SOV/SOA) een noodzakelijk element van bescherming tegen netwerkaanvallen. Het belangrijkste doel van dergelijke systemen is het identificeren van gevallen van ongeoorloofde toegang tot het bedrijfsnetwerk en het nemen van passende tegenmaatregelen: het informeren van inover het feit van inbraak, het verbreken van de verbinding en het opnieuw configureren van de firewall om verdere acties van de aanvaller te blokkeren, d.w.z. bescherming tegen hackeraanvallen en malware.

Algemene beschrijving van de technologie

Er zijn verschillende IDS-technologieën die verschillen in de soorten gedetecteerde gebeurtenissen en de methodologie die wordt gebruikt om incidenten te identificeren. Naast monitoring- en gebeurtenisanalysefuncties om incidenten te identificeren, voeren alle typen IDS de volgende functies uit:

• Informatie over gebeurtenissen vastleggen. Normaal gesproken wordt de informatie lokaal opgeslagen, maar kan naar elk gecentraliseerd logverzamelingssysteem of SIEM-systeem worden verzonden;
• Het informeren van beveiligingsbeheerders over. Dit type melding wordt waarschuwing genoemd en kan via verschillende kanalen worden uitgevoerd: e-mail, SNMP-traps, systeemlogboekberichten, IDS-systeembeheerconsole. Programmeerbare reacties met behulp van scripts zijn ook mogelijk.
• Rapporten genereren. Er worden rapporten gemaakt die alle informatie over de gevraagde gebeurtenis(sen) samenvatten.

IPS-technologie vormt een aanvulling op de IDS-technologie doordat deze niet alleen onafhankelijk een bedreiging kan identificeren, maar deze ook met succes kan blokkeren. In dit scenario is de functionaliteit van IPS veel breder dan die van IDS:

• IPS blokkeert een aanval (het beëindigen van de sessie van een gebruiker die het beveiligingsbeleid schendt, het blokkeren van de toegang tot bronnen, hosts, applicaties);
• IPS verandert de beschermde omgeving (verandert de configuratie van netwerkapparaten om een ​​aanval te voorkomen);
• IPS verandert de inhoud van de aanval (het verwijdert bijvoorbeeld een geïnfecteerd bestand uit een brief en stuurt dit naar de reeds opgeschoonde ontvanger, of het werkt als een proxy, waarbij inkomende verzoeken worden geanalyseerd en gegevens in de pakketheaders worden verwijderd).

Maar naast de voor de hand liggende voordelen hebben deze systemen ook hun nadelen. IPS kan bijvoorbeeld niet altijd accuraat een informatiebeveiligingsincident identificeren, of normaal verkeer of gebruikersgedrag ten onrechte voor een incident aanzien. Bij de eerste optie is het gebruikelijk om te spreken over een vals-negatieve gebeurtenis, bij de tweede optie spreekt men van een vals-positieve gebeurtenis. Houd er rekening mee dat het onmogelijk is om het voorkomen ervan volledig te elimineren, zodat de organisatie in elk geval onafhankelijk kan beslissen welke van de twee groepen risico's moet worden geminimaliseerd of geaccepteerd.

Er zijn verschillende detectie technieken incidenten met behulp van IPS-technologieën. De meeste IPS-implementaties gebruiken de som van deze technologieën om een ​​hogere mate van detectie van bedreigingen te bieden.

1. Op handtekeningen gebaseerde aanvalsdetectie.

Een handtekening is een patroon dat een overeenkomstige aanval definieert. Op handtekeningen gebaseerde aanvalsdetectie is het proces waarbij een handtekening wordt vergeleken met een mogelijk incident. Voorbeelden van handtekeningen zijn:

• telnet-verbinding door de “root”-gebruiker, wat een schending zou zijn van bepaald bedrijfsbeveiligingsbeleid;
• inkomende e-mail met het onderwerp “gratis afbeeldingen”, met het bijgevoegde bestand “freepics.exe”;
• besturingssysteemlogboek met code 645, wat aangeeft dat hostcontrole is uitgeschakeld.

Deze methode is zeer effectief bij het detecteren van bekende bedreigingen, maar is niet effectief tegen onbekende aanvallen (zonder handtekening).

2. Detectie van een aanval door afwijkend gedrag

Deze methode is gebaseerd op het vergelijken van de normale activiteit van gebeurtenissen met de activiteit van gebeurtenissen die afwijken van het normale niveau. IPS die deze methode gebruiken, hebben zogenaamde ‘profielen’ die het normale gedrag van gebruikers, netwerkknooppunten, verbindingen, applicaties en verkeer weerspiegelen. Deze profielen worden aangemaakt tijdens een “trainingsperiode” gedurende een bepaalde periode. Een profiel kan bijvoorbeeld op weekdagen een toename van 13% in het webverkeer registreren. In de toekomst gebruikt IPS statistische methoden om verschillende kenmerken van echte activiteit met een bepaalde drempelwaarde te vergelijken. Bij overschrijding wordt een bijbehorend bericht naar de beheerconsole van de beveiligingsfunctionaris gestuurd. Profielen kunnen worden gemaakt op basis van vele kenmerken uit de analyse van gebruikersgedrag. Bijvoorbeeld door het aantal verzonden e-mails, het aantal mislukte pogingen om in te loggen op het systeem, het niveau van de belasting van de serverprocessor in een bepaalde periode, enz. Als gevolg hiervan kunt u met deze methode aanvallen vrij effectief blokkeren die de filtering van handtekeninganalyse omzeilden, waardoor bescherming werd geboden tegen aanvallen van hackers.

IDS/IPS-technologie in ALTELL NEO

De IDS/IPS die door ons bedrijf wordt gebruikt in de nieuwe generatie ALTELL NEO-firewalls is gebaseerd op de open Suricata-technologie, die verder wordt ontwikkeld in overeenstemming met onze taken. In tegenstelling tot de IDS/IPS Snort die door andere ontwikkelaars wordt gebruikt, heeft het systeem dat wij gebruiken een aantal voordelen. Zo kun je de GPU in IDS-modus gebruiken, heeft het een geavanceerder IPS-systeem, ondersteunt het multitasking (wat hogere prestaties levert) , en nog veel meer, inclusief volledige ondersteuning voor het Snort-regelsformaat.

Het is de moeite waard om te bedenken dat voor een correcte werking van IDS/IPS up-to-date handtekeningendatabases nodig zijn. ALTELL NEO maakt hiervoor gebruik van de open National Vulnerability Database en Bugtraq. De databases worden 2-3 keer per dag bijgewerkt, wat een optimaal niveau van informatiebeveiliging garandeert.

Het ALTELL NEO-systeem kan in twee modi werken: inbraakdetectiemodus (IDS) en inbraakpreventiemodus (IPS). De IDS- en IPS-functies zijn ingeschakeld op de apparaatinterface die door de beheerder is geselecteerd (een of meer). Het is ook mogelijk om IPS-functies aan te roepen bij het configureren van firewallregels voor het specifieke type verkeer dat u wilt inspecteren. Het functionele verschil tussen IDS en IPS is dat in de IPS-modus netwerkaanvallen in realtime kunnen worden geblokkeerd.

Functionaliteit van het inbraakdetectie- en preventiesysteem in ALTELL NEO

№	Functie	Steun
1.	Detectie kwetsbaarheden (exploits) van de ActiveX-component
2.	Detectie van verkeer verzonden door hosts op het interne lokale netwerk, kenmerkend voor reacties na een succesvolle aanval
3.	Netwerkverkeer detecteren van botnet-opdracht- en controleservers (Bot C&C)
4.	Detecteer netwerkverkeer gerelateerd aan instant messaging-protocollen en -programma's
5.	Detectie van netwerkverkeer van gecompromitteerde netwerkknooppunten
6.	Detectie van netwerkverkeer dat naar DNS-servers wordt geleid
7.	Detectie van verkeer dat typisch is voor Denial of Service-aanvallen (DoS, Denial of Service)
8.	Detectie van netwerkverkeer van hosts op de Spamhaus Drop-lijst
9.	Detectie van netwerkverkeer van hosts die bekende aanvalsbronnen zijn, gebaseerd op de Dshield-lijst
10.	Detectie van netwerkverkeer dat typisch is voor programma's die misbruik maken van kwetsbaarheden (exploits)
11.	Detectie van verkeer geassocieerd met computerspellen
12.	Detectie van ICMP-netwerkverkeer geassocieerd met netwerkaanvallen zoals poortscannen
13.	Detectie van netwerkverkeer dat kenmerkend is voor aanvallen op IMAP-services
14.	Detecteer ongeldig netwerkverkeer dat het beveiligingsbeleid van uw organisatie schendt
15.	Detectie van netwerkverkeer dat typisch is voor kwaadaardige programma's (malware)
16.	Detectie van netwerkverkeer dat typisch is voor netwerkwormen met behulp van het NetBIOS-protocol
17 .	Detectie van netwerkverkeer, peer-to-peer programma's voor het delen van bestanden (P2P, peer-to-peer-netwerken)
18.	Detectie van netwerkactiviteit die mogelijk in strijd is met het beveiligingsbeleid van de organisatie (bijvoorbeeld VNC-verkeer of het gebruik van anonieme FTP-toegang)
19.	Detectie van verkeer dat consistent is met aanvallen op POP3-services
20.	Detectie van netwerkverkeer van Russische zakelijke netwerkhosts
21.	Detectie van aanvallen op RPC-services (remote procedure call).
22.	Netwerkverkeer van poortscanners detecteren
23.	Detectie van pakketten die assemblagecode en opdrachten op laag niveau bevatten, ook wel opdrachtcode genoemd (bijv. bufferoverflow-aanvallen)
24.	Detectie van verkeer dat consistent is met aanvallen op SMTP-services
25.	Detectie van SNMP-netwerkverkeer
26.	Ontdekking van regels voor verschillende SQL-databaseprogramma's
27.	Netwerkverkeer volgens het Telnet-protocol op een netwerk detecteren
28.	Detectie van netwerkverkeer dat typisch is voor TFTP-aanvallen (triviale FTP).
29.	Detectie van verkeer afkomstig van een afzender die het Tor-netwerk gebruikt om de anonimiteit te behouden
30.	Detectie van Trojaans verkeer
31.	Detectie van aanvallen op user agents
32.	Beschikbaarheid van handtekeningen van veelvoorkomende virussen (als aanvulling op de ALTELL NEO-antivirusengine)
33.	Detectie van netwerkverkeer dat kenmerkend is voor aanvallen op VoIP-diensten
34.	Detectie van kwetsbaarheden (exploits) voor webclients
35.	Detectie van aanvallen op webservers
36.	Het detecteren van SQL-injectieaanvallen
37.	Detectie van netwerkverkeer dat typisch is voor netwerkwormen
38.	Bescherming tegen aanvallen van hackers

Beveiligingsregels zijn ontwikkeld en verbeterd door de Emerging Threats-gemeenschap en zijn gebaseerd op jarenlange gecombineerde ervaring van experts op het gebied van bescherming tegen netwerkaanvallen. De regels worden automatisch bijgewerkt via een beveiligd kanaal (hiervoor moet een internetverbinding zijn geconfigureerd in ALTELL NEO). Aan elke regel wordt een prioriteit toegewezen op basis van de aanvalsklasse, op basis van gebruiksfrequentie en belang. Standaard prioriteitsniveaus variëren van 1 tot 3, waarbij prioriteit "1" hoog is, prioriteit "2" gemiddeld en prioriteit "3" laag.

In overeenstemming met deze prioriteiten kan een actie worden toegewezen die het ALTELL NEO inbraakdetectie- en preventiesysteem in realtime zal uitvoeren wanneer netwerkverkeer dat overeenkomt met de regelhandtekening wordt gedetecteerd. De actie zou als volgt kunnen zijn:

• Waarschuw(IDS-modus) - verkeer is toegestaan ​​en wordt doorgestuurd naar de ontvanger. Er wordt een waarschuwing naar het gebeurtenislogboek geschreven. Deze actie is de standaardactie voor alle regels;
• Druppel(IPS-modus) - pakketanalyse stopt, er wordt geen verdere vergelijking gemaakt voor naleving van de resterende regels. Het pakket wordt weggegooid en er wordt een waarschuwing naar het logboek geschreven;
• Afwijzen(IPS-modus) - in deze modus wordt het pakket verwijderd en wordt er een waarschuwing naar het logboek geschreven. In dit geval wordt een overeenkomstig bericht verzonden naar de afzender en ontvanger van het pakket;
• Doorgang(IDS- en IPS-modus) - in deze modus stopt de pakketanalyse en wordt er geen verdere vergelijking gemaakt op naleving van de resterende regels. Het pakket wordt doorgestuurd naar zijn bestemming en er wordt geen waarschuwing gegenereerd.

Rapporten over verkeer dat door het ALTELL NEO-systeem voor inbraakdetectie en -preventie gaat, kunnen worden gegenereerd in het eigen gecentraliseerde beheersysteem van ALTELL NEO, dat initiële gegevens (waarschuwingen) verzamelt van een of meer ALTELL NEO-apparaten.

Gratis testen

U kunt de functionaliteit van het IDS/IPS-systeem dat is ingebouwd in ALTELL NEO in de UTM-versie gratis testen door een korte aanvraag in te vullen. U kunt ook de apparaatconfiguratie selecteren (extra geheugen, uitbreidingsmodules, softwareversie, enz.) en de geschatte prijs berekenen met behulp van

Dmitri Volkov
Hoofd IT-incidentonderzoek, Group-IB

Moderne ontwikkeling van IPS

Netwerkinbraakpreventiesystemen (IPS) kunnen een effectief hulpmiddel zijn voor beveiligingsmensen of een duur stuk hardware dat rondslingert en stof verzamelt. Om ervoor te zorgen dat een IPS-systeem geen teleurstelling wordt, moet het in ieder geval voldoen aan de volgende eisen waarmee rekening moet worden gehouden bij de keuze ervan.

Het systeem moet:

1. hebben een breed scala aan modellen die voldoen aan de eisen van zowel kleine regionale kantoren als de hoofdonderneming met multi-gigabit-netwerken;
2. niet alleen handtekeninganalyse ondersteunen, maar ook analyse van afwijkende protocollen, en uiteraard gedragsanalyse;
3. een duidelijk beeld geven van het netwerk en de daarop aangesloten apparaten;
4. werk leveren in de IDS-modus, gedragsanalyses uitvoeren, over hulpmiddelen beschikken om onderzoeken uit te voeren;
5. gecentraliseerd beheer hebben van geïnstalleerde IPS/IDS-systemen;
6. over goede analyse-instrumenten beschikken om het veiligheidsbeleid effectief te verbeteren.

IDS/IPS-systemen worden meestal aangesloten op plaatsen waar kritieke bronnen aanwezig zijn. Maar naast het feit dat het nodig is om aanvallen op deze bronnen te blokkeren, moet je ze voortdurend in de gaten houden, namelijk: weet welke van deze bronnen kwetsbaar zijn en hoe hun gedrag op het netwerk verandert. Daarom is het noodzakelijk om extra functionaliteit aan IDS/IPS-systemen toe te voegen, waardoor ze de benodigde bronnen betrouwbaarder kunnen beschermen en tegelijkertijd de eigendomskosten kunnen verlagen. De bescherming kan dus in drie fasen worden uitgevoerd: IPS, Adaptive IPS, Enterprise Threat Management. De functionaliteit van elke volgende fase omvat alle functies uit de vorige fase en wordt uitgebreid met nieuwe.

Fase 1: U kunt aanvallen monitoren en/of blokkeren die misbruik maken van duizenden kwetsbaarheden, dat wil zeggen standaard IPS-sensoren en hun controlecentra.

Fase 2. Het wordt mogelijk om het netwerk te verkennen, gebeurtenissen te prioriteren en de IPS-configuratie te automatiseren.

Fase 3. Volledige functionaliteit om het bedrijfsnetwerk voor, tijdens en na een aanval te beschermen.

ETM is de eerste manifestatie van het besef dat het beschermen van informatiemiddelen vereist dat we slimmer werken, en niet harder. Vanuit technologisch perspectief is ETM een combinatie van vier technologieën voor bedreigings- en kwetsbaarheidsbeheer, gecombineerd in één centraal beheerde oplossing. Hierdoor biedt deze oplossing meer mogelijkheden dan elk product afzonderlijk. Zoals weergegeven in afb. 3, ETM bestaat uit een inbraakpreventiesysteem (IPS), netwerkgedragsanalyse (NBA), netwerktoegangscontrole (NAC), kwetsbaarheidsanalyse (VA), communicatiesubsysteem en gecentraliseerd beheer.

Vergelijking van IPS-fabrikanten

In afb. Figuur 4 laat zien welke fabrikanten van IPS-systemen voorop lopen. Maar laten we, zonder gebonden te zijn aan Gartner, eens kijken naar welke functionaliteit elke fabrikant heeft.

Zoals u kunt zien, missen sommige belangrijke functies, zoals onderzoek op batchniveau en het bekijken en maken van regels. Zonder dergelijke mogelijkheden is het soms volkomen onduidelijk waarom het systeem waarschuwingen geeft, en het zal veel tijd kosten om de reden voor deze waarschuwingen te achterhalen.

Het ontbreken van een mechanisme voor het creëren van compliancebeleid brengt ook bepaalde beperkingen met zich mee. Bij een externe audit is het bijvoorbeeld nuttig om aan te tonen hoe uw beleid daadwerkelijk wordt uitgevoerd. Verder commentaar is overbodig, omdat de werkelijke stand van zaken pas duidelijk zal worden na daadwerkelijke implementatie in een industriële omgeving.

Er moet aan worden herinnerd dat het garanderen van netwerkbeveiliging een complexe taak is, en dat ongelijksoortige oplossingen niet altijd de integriteit van de perceptie garanderen en tot extra kosten leiden.

Kort overzicht

Cisco-systemen

Betrouwbare oplossingen hebben uitstekende ondersteuning, maar zijn moeilijk te configureren, handtekeninganalyse levert veel valse positieven op en de beheerinterface maakt geen adequate analyse van geregistreerde gebeurtenissen mogelijk als er een groot aantal gebeurtenissen is. Voor volledige functionaliteit zijn extra investeringen in Cisco Security Monitoring, Analysis and Response System (CS-MARS) vereist.

Omslagpunt

De systemen van deze fabrikant zijn eenvoudig te configureren en te installeren. Ze hebben een goede besturingsinterface, maar kunnen alleen in een opening worden aangesloten, dat wil zeggen zonder passieve detectie. Ze bieden geen mogelijkheid om de functionaliteit uit te breiden en zijn eenvoudigweg een IDS/IPS-systeem.

Op een van de conferenties zei een vertegenwoordiger van TippingPoint in zijn toespraak dat hun apparatuur kan worden geïnstalleerd en vergeten - en dit is hun beveiligingsstrategie.

Misschien deelt iemand het, maar ik kan het er moeilijk mee eens zijn. Elk beveiligingsinstrument moet worden gecontroleerd, anders krijgt u er nooit het juiste rendement uit. Als iemand bijvoorbeeld voortdurend probeert uw affiliate-portaal te hacken en dit de eerste twee keer niet is gelukt dankzij het IPS-systeem, dan zal hij de derde keer wel slagen, en zonder het IPS-systeem te monitoren, weet u dit niet en voorkomt u dat pogingen zul je niet slagen.

Juniper-netwerken

Wat analisten van Gartner of andere publicaties ook schrijven, het is moeilijk om iets goeds over hun producten te zeggen. Het systeem is vreselijk moeilijk op te zetten. De NSM-beheerconsole is zeer beperkt. De resultaten worden zo weergegeven dat je de indruk krijgt dat de ontwikkelaars probeerden ervoor te zorgen dat ze er zo min mogelijk naar keken en hoopten dat de aanvallen daadwerkelijk werden afgeweerd.

Bronvuur

Misschien wel het beste systeem. Alles is handig. De functionaliteit is ongelooflijk breed. Bovendien beschikt het systeem al over ingebouwde mogelijkheden voor gedetailleerde gegevensverzameling over aanvallende en aangevallen knooppunten, en niet alleen over IP- en MAC-adressen, waardoor de tijd voor analyse en analyse van gebeurtenissen aanzienlijk wordt verkort. Dergelijke informatie omvat ook de geschiedenis van verbindingen, geopend en vervolgens
gesloten poorten, typen verzonden adressen, gebruikersnamen als de overdracht bijvoorbeeld via FTP of e-mail heeft plaatsgevonden en uiteraard het e-mailadres zelf. In grote netwerken kan het een onmisbaar beschermingsmiddel worden. Ze brengen hun oplossingen sinds 2001 op de markt, maar betreden pas onlangs de Russische markt.

Conclusie

Het heeft geen zin om een ​​hele reeks nieuwe producten te introduceren die slechts één probleem oplossen. Statische beveiligingsmaatregelen kunnen een dynamische omgeving niet beschermen. Het is noodzakelijk om de tijd en inspanningen van uw medewerkers te beschermen. Laat ze beter werken, niet harder. Verlaag de kosten voor het ondersteunen van een heterogene omgeving. Verminder de tijd die wordt besteed aan het analyseren van gegevens uit meerdere consoles en rapporten. Geef uw geld verstandig uit voordat beveiligingssystemen u meer kosten dan de risico's waartegen u zich beschermt.