מהי IPS?
IPS או Intrusion Prevention System כלומר מערכת למניעת חדירות היא טכנולוגיית אבטחת רשת המיועדת
לזהות ולמנוע איומים שזוהו.
בניגוד למקבילתה, מערכת זיהוי חדירה (IDS), שמזהה ומתריעה רק על איומים פוטנציאליים, מערכת IPS נוקטת באופן אקטיבי
בצעדים לחסום או למתן אותם מבלי לדרוש התערבות ידנית של מנהלי רשת.
איך עובדת IPS?
מערכת למניעת חדירה (IPS) פועלת על ידי ניתוח תעבורת רשת ונקיטת פעולות מיידיות כדי למנוע מאיומים פוטנציאליים לגרום נזק.
להלן מבט מפורט יותר על המרכיבים והתהליכים העיקריים המעורבים בתפקוד של IPS:
ניטור תנועה
בדיקת מנות עמוקה: IPS בוחנת את התוכן והכותרת של כל חבילה שעוברת ברחבי הרשת.
זה מאפשר ל-IPS לזהות מטענים זדוניים ודפוסי תעבורה חשודים שחומת אש פשוטה עשויה לא לתפוס.
זיהוי מבוסס חתימה
חתימות: אלו דפוסים מוגדרים מראש התואמים לאיומים ידועים, כגון רצפי בתים ספציפיים בתעבורת רשת, או רצפי הוראות זדוניות
ידועים המשמשים תוכנות זדוניות.
IPS בודקת את התעבורה מול מסד נתונים של חתימות אלה כדי לזהות התאמות.
איתור מבוסס אנומליות
קווי בסיס: IPS יכולה לקבוע קו בסיס של פעילות רשת רגילה לאורך זמן.
כל פעילות שזוהתה החורגת באופן משמעותי מקו הבסיס הזה יכולה להיות מסומנת כעלולה להיות זדונית.
שיטה זו יעילה לזיהוי איומים חדשים או לא ידועים שאינם תואמים לאף חתימה קיימת.
אכיפת מדיניות
כללים ומדיניות: מנהלי רשת מגדירים כללים שמכתיבים כיצד ה-IPS צריך להגיב לאיומים שזוהו.
כללים אלה יכולים להיות מפורטים מאוד, ולפרט אילו סוגי פעילויות נחשבים מסוכנים ואילו פעולות לנקוט כאשר פעילויות כאלה מתגלות.
פעולות מניעה
חסימה: IPS יכולה לחסום תנועה פוגענית מלהגיע ליעד המיועד, ולמעשה לעצור את המתקפה.
סיום הפעלה: IPS יכולה לסיים חיבורים המעורבים בפעילויות זדוניות.
הגדרה מחדש: המערכת יכולה להגדיר מחדש כלי אבטחה אחרים כדי להגן טוב יותר מפני התקפה מתמשכת.
הפניית תנועה: היא יכולה להפנות תנועה חשודה לסביבה מאובטחת יותר לבדיקה וניתוח נוספים.
אינטגרציה ותגובה
אינטגרציה עם מערכות אחרות: IPS משתלבת עם מערכות אבטחה אחרות, כגון חומות אש,
מערכות SIEM וכלים לניהול פגיעות, כדי לספק עמדת אבטחה מקיפה.
תגובה אוטומטית: IPS יכולה להחיל באופן אוט ומטי כללים ופעולות על סמך סוג האיום שזוהה, להפחית את הזמן
שלוקח להגיב ולמזער נזק פוטנציאלי.
דיווח ורישום
התראות: עם זיהוי פעילות זדונית, ה-IPS מייצרת התראות המודיעות למנהלי הרשת על האיום הפוטנציאלי.
יומנים: IPS שומרת יומנים מפורטים של כל פעילות הרשת, שיכולים להיות שימושיים לניתוח פורנזי לאחר תקיפה
ולשיפור יכולות זיהוי האיומים של ה-IPS לאורך זמן.
על ידי ניטור רציף של תעבורת רשת ותגובה אוטומטית לאיומים, IPS ממלאת תפקיד קריטי בשמירה על הנכסים הדיגיטליים
של הארגון והבטחת פעילות רשת ללא הפרעה.
מערכות IPS נפוצות
מספר ספקים מציעים מערכות למניעת חדירות (IPS) ידועות ונפוצות המשתנות בתכונות, ביכולות ובסביבות היעד.
להלן רשימה של כמה מפתרונות ה-IPS הבולטים:
Cisco IPS
חלק ממערכת האבטחה הרחבה יותר של סיסקו, פתרונות ה-IPS של סיסקו משולבים בחומת האש ובנתבים שלהם,
ומציעים הגנה איתנה על רשת עם אינטליגנציה מתקדמת של איומים.
Palo Alto Networks IPS
חומות האש של הדור הבא (NGFW) של פאלו אלטו כוללות תכונות IPS משולבות, אשר ידועות ביעילותן במניעת איומים ידועים
ולא ידועים באמצעות בדיקת תעבורה מפורטת ומודיעין איומים.
צ’ק פוינט IPS
צ’ק פוינט מציעה IPS כחלק מפתרונות שער האבטחה המקיפים שלה, המספקת הגנה מפני התקפות באמצעות עדכונים
מהירים למדיניות האבטחה והחתימות.
Fortinet FortiGate IPS
טכנולוגיית ה-IPS של Fortinet, המשולבת בתוך חומות האש של הדור הבא של FortiGate, מספקת מניעת איומים בעלת ביצועים גבוהים
עם מודיעין איומים מותאם אישית ומעודכן.
ג’וניפר נטוורקס SRX Services Gateways
Gateways של Juniper SRX כוללים תכונות IPS המספקות הגנה מקיפה מפני תוכנות זדוניות מודרניות והתקפות סייבר בהיקפים שונים.
חומת אש של Sophos XG
חומת האש של Sophos XG משלבת IPS המשתמשת בטכניקות מתקדמות כמו Deep Packet Inspection כדי לעצור התקפות
מוסתרות בתעבורה מוצפנת.
Trend Micro TippingPoint
TippingPoint של Trend Micro מספקת פתרון IPS המציע הגנה בזמן אמת, ניהול איומים אוטומטי
ומדיניות אבטחה מקיפה.
חומת האש של Barracuda CloudGen
מוצרי חומת האש של Barracuda כוללים תכונות IPS שנועדו לחסום איומים מתקדמים, כולל התקפות של יום אפס,
על ידי שימוש בעדכוני מודיעין איומים מתמשכים.
Snort
Snort פותחה על ידי Cisco Systems.
Snort היא מערכת קוד פתוח למניעת חדירת רשת וזיהוי המבצעת ניתוח תעבורה בזמן אמת ורישום מנות ברשתות IP.
Suricata
Suricata היא אפשרות נוספת בקוד פתוח הפועלת כמנוע רשת IDS, IPS ואבטחת רשת.
