Спокойствие в компании: система предотвращения атак. Что такое Intrusion Prevention System?

Что такое система предотвращения атак или по-английски, Intrusion Prevention System? Этот метод не только фильтрует трафик, удаляя из него атаки, но и облегчает работу команды безопасности, помогая избежать устранения последствий атак. Также он дает вашей ИТ-службе больше времени для спокойной установки обновлений. Раскрываем все тонкости и преимущества Intrusion Prevention System с Денисом Батранковым, руководителем направления сетевой безопасности Positive Technologies. Таймкоды: 0:00 В мире каждый день появляется 60 новых уязвимостей в среднем 0:56 Apple подала в суд на NSO Group за вредоносный код Pegasus 1:07 В компании обычно тысячи уязвимостей, которые нельзя устранить мгновенно 1:43 Выход из ситуации — использовать системы предотвращения атак (IPS) 2:27 IPS обычно ставится в разрыв кабеля где идет сетевой трафик или в режиме прослушивания как IDS 2:40 SSL расшифрование позволяет видеть атаки внутри SSL и TLS соединений 2:50 Существует несколько подходов к поиску атак в трафике 2:54 1. Знаем эксплойт и ищем его сигнатуру в трафике 3:10 2. Знаем методику атаки и ищем саму методику 3:32 3. Проверяем аномалии 3:46 4. Знаем IoC такие как IP адреса и DNS имена 4:01 5. Знаем конкретные хакерские утилиты 4:21 Фокус производителя на максимальное количество обнаруженных атак в трафике под нагрузкой 4:32 Два подхода: проверять все сигнатуры везде или проверять сигнатуры сначала определив приложение 5:07 Тестирование Suricata и pfSense на качество защиты под нагрузкой 5:39 IPS делятся на два класса: где можно включить все сигнатуры и где не получится из-за падения производительности 6:07 Проверьте что ваш IPS работает на нестандартных портах 6:39 PT SWARM сама находит критические уязвимости и помогает всему миру от них защититься 7:02 PT NGFW и PT NAD постоянно обновляют сигнатуры всех последних уязвимостей 7:18 Мы отслеживаем трендовые уязвимости 7:41 Информационные сигнатуры для расследования инцидентов