Обнаружение и предотвращение атак и вторжений (IDS/IPS)

Система обнаружения и предотвращения вторжений (IDS/IPS — Intrusion Detection/Prevention System) позволяет реагировать на атаки злоумышленников, использующих известные уязвимости, а также распознавать вредоносную активность внутри сети. IDS/IPS системы предназначены для обнаружения вторжений и защиты сетей компании от атак, неавторизованного проникновения в сеть. Такие решения могут обрывать сомнительные соединения и автоматически настраивать межсетевой экран, который блокирует дальнейшие атаки, а также информируют службу информационной безопасности компании.

Обнаружение и предотвращение атак и вторжений с помощью UserGate

Средство обнаружения вторжений и предотвращения атак UserGate – эффективное решение для корпоративных локальных сетей и дата-центров. Оно обеспечивает автоматическое реагирование на хакерские атаки, распознает опасные или вредоносные действия внутри сети. Возможными мерами превентивной защиты являются блокирование определенных сегментов сетевого трафика, обрыв соединения и оповещение администратора сети. Решение работает на аппаратном и программном уровне. Оно анализирует сигнатуры и использует правила эвристики для контроля за системами защиты в режиме реального времени. Выявление проблем безопасности происходит с помощью использования эвристических правил и анализа сигнатур известных атак. Система IPS отслеживает и блокирует подобные атаки в режиме реального времени. Если обнаружена угроза, трафик может быть заблокирован, соединение обрывается, а администратор получает соответствующее оповещение.

Администратор может создавать различные профили системы обнаружения вторжений (СОВ) и задавать правила СОВ, определяющие действия для выбранного типа трафика (IP, ICMP, TCP, UDP), который будет проверяться системой в соответствии с назначенными профилями.

Основные характеристики СОВ UserGate

Разработка и верификация сигнатур:

• Все сигнатуры разрабатываются и верифицируются командой аналитиков Центра мониторинга и реагирования UserGate (MRC-UG). На сегодняшний день создано более 6000 сигнатур, число которых постоянно растет.
• В процессе разработки правил используется информация от различных центров реагирования на компьютерные инциденты, включая ФинЦЕРТ Банка России и GOV-CERT НКЦКИ.

Режимы работы:

• Система может работать как в режиме мониторинга (IDS), так и в режиме блокировки (IPS), обеспечивая защиту сети от атак, использующих известные уязвимости или вредоносную активность

Выявление угроз:

• Глубокий анализ пакетов (DPI) — UserGate анализирует содержание сетевых пакетов на всех уровнях, что позволяет выявлять скрытые угрозы. DPI эффективен даже против шифрованного трафика.
• Система распознает признаки ботнет-сетей, сигнатуры вирусов и действия пользователей, нарушающие корпоративную политику компании, например, использование торрентов.
• Эвристические алгоритмы позволяют выявлять новые или модифицированные атаки, которые не присутствуют в сигнатурной базе.
• Для обнаружения аномалий используются технологии машинного обучения.
• Контекстуальный анализ и корреляция событий. UserGate объединяет данные из различных источников (системные логи, данные от других устройств безопасности) для создания более точного представления о происходящих событиях. И может корректно реагировать на сложные атаки, которые состоят из нескольких этапов и событий.

Интеграция с другими системами безопасности:

• Легкая интеграция с SIEM, DLP, и другими решениями для создания единой системы защиты.
• Работа в составе инфраструктуры UserGate SUMMA

Локализация:

Адаптирован под специфические требования российского рынка и законодательства.