سیستم های جلوگیری از نفوذ نسل بعدی (NGIPS)

با توجه به پیشرفت حملات سایبری و تکامل روش‌ها و ابزارهای نفوذ، نیاز به راه انداری سیستم‌هایی هوشمند با شفافیت بالا جهت بالا بردن امنیت و مقابله با تهدیدات امنیتی بیش از پیش در سازمان‌ها احساس می‌شود. با توجه به این موضوع ارایه یک راهکار امنیتی یکپارچه جهت مقابله با تهدیدات امنیتی، مهم ترین ویژگی سیستم‌های تشخیص و جلوگیری از نفوذ نسل جدید (NGIPS) است. علاوه بر این راهکار پیاده سازی شده بایستی دارای قابلیت ارایه مکانیزم‌های امنیتی متنوع و متناسب با اهداف و فعالیت‌های سازمان‌های مختلف باشد. در کنار این ویژگی‌ها و با توجه به تنوع نیازمندی‌های امنیتی سازمان‌های مختلف، بازبینی درنحوه استفاده از سیستم‌های جلوگیری از نفوذ و نحوه اسقرار این سیستم‌ها در شبکه سازمان امری  حیاتی و ضروری است. اما مهم‌ترین نکته که بایستی مدنظر قرار گیرد این است که این کار باید به گونه‌ای انجام شود که منجر به ایجاد سطح بالایی از امنیت و شفافیت شود.

جایگاه سیستم‌های جلوگیری از نفوذ نسل جدید در شبکه

نسل جدید سیستم‌های جلوگیری از نفوذ (NGIPS) با رمزگشایی بسته‌ها و بررسی عمیق آنها (Deep-Packet Inspection) به دنبال الگوها و کدهای مخرب (Exploits) می‌گردند. در واقع کار اصلی این سیستم‌ها صدور مجوز عبور برای ترافیک‌های مجاز و جلوگیری از حملات و ترافیک‌های غیرمجاز می‌باشد. معماری سیستم‌های NGIPS به گونه ای طراحی شده که آنها را در برابر Byepass شدن توسط هکرها مقاوم کرده است. با توجه به قابلیت تحلیل عمیق ترافیک شبکه و بررسی پیوسته فعالیت‌های سیستم‌های شبکه، سیستم‌های (NGIPS) قادرند فعالیت‌های مخرب را به راحتی تشخیص دهند. بنابراین اصلی ترین وظیفه سیستم‌های NGIPS محافظت از شبکه و دارایی‌های سازمان در برابر حملات و تهدیدات داخلی و خارجی می‌باشد. اکثر سیستم‌های جلوگیری از نفوذ نسل جدید (NGIPS) به صورت برخط (inline) و پشت فایروال‌ها قرار می‌گیرند و کلیه ترافیک‌های عبوری را بررسی می‌کنند.

نکته مهم در مورد انتخاب سیستم های تشخیص نفوذ نسل بعدی این است که سیستم انتخاب شده بایستی علاوه بر سازگاری با سایر تجهیزات شبکه، False Positive کمتری داشته باشد و هشدارهای قابل اعتمادتری تولید کند.

عوامل موثر در انتخاب سیستم‌های جلوگیری از نفوذ نسل جدید (NGIPS)

  • شفافیت
  • کارایی
  • هزینه‌های عملیاتی
  • انعطاف پذیری و قابلیت ادغام شدن با سایر سیستم‌ها

شفافیت

با توجه به امکانات  ارایه شده بر روی سیستم‌های جلوگیری از نفوذ نسل جدید می‌توان درک شفاف‌تر و بهتری از داده‌ها و اطلاعاتی که در شبکه سازمان جریان دارد، داشت و نیازهای امنیتی خود را به طور مناسبی پوشش داد. علاوه بر این با اطلاعاتی که این سیستم‌ها از برنامه‌های کاربردی، سیستم عامل دستگاه‌های مختلف، انواع آسیب پذیری‌ها، نحوه جریان فایل‌ها و اطلاعات درسازمان و پروفایل‌هایی که هاست‌های سازمان در اختیار قرار می‌دهند، کمک می‌کند تا با استفاده از این اطلاعات سیاست‌های امنیتی را بهینه کرد.

کارایی

محصول Firepower شرکت سیسکو هر 2 ساعت یک بار سیاست‌ها و Signatureهای جدید را دریافت و از این اطلاعات بروز برای تشخیص و جلوگیری از تهدیدات و حملات استفاده می‌کند. این موضوع نشان می‌دهد که امنیت شما همیشه از راهکاری بروز تامین می‌شود. گروه Talous شرکت سیسکو به عنوان بزرگترین شبکه یا گروه شناخته شده‌ای است که با هدف تشخیص تهدیدات امنیتی فعالیت می‌کند. هدف اصلی Talous بروزرسانی لحظه‌ای و ارتباط مستمر ،جهت تامین امنیت مشتریانش می‌باشد. 

میزان موثر بودن یک محصول بر اساس فاکتورهای متنوعی ازجمله میزان مقاومت آن در برابر Byepass شدن، میزان پایداری محصول و میزان کارایی آن در جلوگیری از حملات اندازه گیری می شود. بر اساس آمار ارایه شده توسط گروه تست NSSlabs برای محصولات تست شده، این عدد بین 25% تا 99.8% می باشد.

هزینه عملیاتی

زمانی که شما محصولی را خریداری می‌کنید، هزینه‌های شما به صفر نمی‌رسد. زیرا که هزینه‌های نصب و نگهداری، هزینه پیاده سازی سیاست‌های جدید و هزینه‌های مربوط به نگهداری لاگ‌ها، مورادی هستند که شما بایستی برای آنها برنامه ریزی داشته باشید و در بودجه مالی شرکت هزینه‌های مربوط به آنها را در نظر بگیرید.

انعطاف پذیری و قابلیت ادغام شدن با سایر سیستم‌های امنیتی

تنوع در نیازمندی‌های امنیتی سازمان‌های مختلف باعث شده تا سیستم‌های جلوگیری از نفوذ نسل جدید (NGIPSs) با ارایه یک معماری کاملا استاندارد انعطاف کافی را جهت قرارگیری در شبکه سازمان‌های مختلف را داشته باشند. هر سازمانی ممکن است بنا به نیازمندی خود از NGIPS در قسمت‌های مختلف از شبکه از جمله لبه شبکه، دیتا سنتر و یا پشت فایروال جهت حفاظت از دارایی‌های حساس خود استفاده کند. سیستم‌های جلوگیری از نفوذ نسل جدید دارای قابلیت پیاده سازی در دو حالت Inline inspection و یا Passive detection می‌باشند که سازمان‌ها می‌توانند براساس نیازمندی امنیتی خود از هر کدام از آنها استفاده کنند. محصول FirePower سیسکو شاید بیشترین انعطاف پذیری را در بین این محصولات داراست زیرا برای قرارگیری در شبکه و کار با سایر تجهیزات شبکه نیاز چندانی به تغییرات در زیرساخت شبکه ندارد.

9 سیستم برتر تشخیص و جلوگیری از نفود(IDPS)

شاید تهدیدات امنیتی این روزها بیشتر بجای اینکه ناهنجاری باشند به صورت یک هنجار در آمده‌اند. طبق گزارش گارتنر، حملات Phishing بازاری به بزرگی 5.3 بیلیون دلاری در بازار امنیت برای خود دست و پا کرده است که رقم قابل توجهی به حساب می‌آید. طبق پیش بینی‌ها انتظار می‌رود این عدد تا اواخر سال 2019 به بالای 9 بیلیون دلار افزایش یابد. اینکه سیستم‌ جلوگیری از نفوذ بتواند قبل از افزایش خسارت ناشی از حمله به سازمان، جلوی آن را بگیرد، بیشتر وابسته به سیستم پیاده سازی شده دارد. بازار IDPSها دارای تنوع بالایی است و از لحاظ عملکردی همه آنها شامل دستگاه‌های فیزیکی و یا مجازی است که ترافیک شبکه را در زیرساخت سازمان یا زیرساخت ابری برای تشخیص ترافیک های مشکوک مورد بررسی و تحلیل قرار می‌دهند. در ادامه این پست برترین تولید کنندگان سیستم های IDPS که امتیاز بالایی در نظر سنجی‌های گارتنر کسب کرده اند، لیست شده است.

  • Cisco FirePower
  • McAfee NSP
  • Trend Micro TippingPoint
  • Hillstone NIPS
  • Darktrace Enterprise Immune System
  • NSFocus NGIPS
  • H3C SecBlade IPS
  • Huawei NIP
  • Entrust IoTrust Identity and Data Securit