Легче предотвратить вторжение, чем ликвидировать его последствия

Старая поговорка о том, что болезнь легче предупредить, чем лечить, обретает на рынке безопасности новый смысл. Как утверждают реселлеры, объемы продаж систем обнаружения вторжений (intrusion detection system — IDS) растут, клиенты все чаще применяют новые технологии для защиты сети. «Похоже, это единственная область, где мы смело можем говорить о подъеме», — признался Боб Джойс, президент компании Perfect Order, системного интегратора.

«Обнаружение вторжений должно стать жизненной необходимостью для каждого, — считает Эд Макферсон, директор изучающего проблемы ИТ-безопасности отдела фирмы PricewaterhouseCoopers (PWC). — Это следующий уровень защиты».

Согласно прогнозу IDC, в 2003 г. оборот мирового рынка систем обнаружения вторжений и программ оценки уязвимости сетей превысит 1 млрд. долл. В последнее время появилось множество компаний, стремящихся отвоевать клиентов у таких лидеров, как Internet Security Systems (ISS), Enterasys Networks и Cisco Systems.

Компания ISS в марте пополнила свой ассортимент пакетом RealSecure Network Sensor 7.0, в котором объединены возможности обнаружения аномального поведения и поиска, основанного на использовании характерных сигнатур. В пакет можно интегрировать базу правил из продукта Snort, представляющего собой систему обнаружения вторжений с открытым исходным кодом. Цена RealSecure — от 8995 долл.

Метод детектирования аномального поведения состоит в поиске подозрительных процессов внутри сетевого трафика с целью оперативного обнаружения атак, что дает администратору время для принятия превентивных мер, не дожидаясь, пока будет разработана и опубликована новая сигнатура, пояснил Макферсон.

ISS выпустила также систему RealSecure Guard, которая использует технику анализа протоколов для обнаружения и блокировки сетевых атак. Новинка предлагается по цене от 11 тыс. долл. Кроме того, программа RealSecure Site Protector, служащая для централизованного управления устройствами, обеспечивающими безопасность, может теперь применяться для мониторинга продуктов третьих фирм, в том числе Check Point Software.

Для рынка SOHO компания ISS в апреле выпустила пакет BlackIce PC Protection. В нем объединены межсетевой экран и системы обнаружения вторжений и защиты приложений. Принцип работы заключается в блокировании отправляемой информации, ограничении доступа к файлам и контроле работы приложений. Рекомендуемая розничная цена — 40 долл.

Однако ISS сталкивается с усиливающейся конкуренцией со стороны растущего числа компаний, среди которых Entercept Security Technologies и Okena. Еще одна новая фирма, IntruVert Networks, официально вышла на рынок в марте.

Как сообщил Парвин Джаин, президент и главный управляющий IntruVert, разработанная компанией архитектура, получившая название IntruShield, сочетает различные методы, обеспечивающие защиту сети от известных и неизвестных атак, а также атак типа «отказ в обслуживании» для мультигигабитных сетей.

Клиентов не удовлетворяют нынешние решения, поскольку они базируются на известных сигнатурах угроз, могут подать ложный сигнал тревоги и сложны в администрировании. Архитектура IntruShield, по утверждению руководителей компании, решает эти проблемы, объединяя методы обнаружения на базе сигнатур, детекторы аномального поведения и обнаружение атак типа «отказ в обслуживании» на одной аппаратной платформе. В апреле начато бета-тестирование продукции на базе архитектуры IntruShield, а первые продажи запланированы на конец июня.

Соперничество на рынке систем обнаружения вторжений вызывает к жизни множество модных выражений, таких как «упреждение» или «обнаружение в реальном времени», заметил Макферсон из PWC. Он полагает, что произойдет переход от технологии сигнатурного поиска к детекторам аномалий.

Кроме того, компаниям необходимо обнаруживать вторжения как на центральном узле, так и на уровне сети, а для управления этими системами придется либо сотрудничать с поставщиком управляемых услуг (MSP), либо использовать консоль для сбора данных с различных устройств защиты. «Можно наблюдать следующую тенденцию: компании покупают систему обнаружения вторжений как пилотное решение, но не внедряют в полном объеме, поскольку у них нет специалиста для управления ею», — сказал Макферсон.

Кен Аммон, президент и главный управляющий компании Netsec, говорит, что принятие технологии обнаружения атак в корпоративном масштабе порождает повышенный интерес к услугам управления безопасностью. И это понятно: чтобы система обнаружения вторжений была эффективной, необходим постоянный мониторинг. В противном случае все усилия будут затрачены впустую.

Мировой рынок систем обнаружения вторжений и оценки уязвимости

ISS 34%
Symantec 17%
Bindview 16%
Прочие 34%

Источник: IDC (дек. 2001).


Версия для печати (без изображений)