Поставщики решений в области информационной безопасности пытаются размыть грань между системами обнаружения вторжений (IDS — intrusion delection systems) и межсетевыми экранами (МСЭ).
До сих пор эти технологии были отдельными элементами систем защиты, но сегодня некоторые компании, в том числе NetScreen Technologies и Check Point Software Technologies, предпринимают шаги к их объединению.
«Разделение МСЭ и IDS искусственно. Оно возникло исторически, а не потому, что в нем есть какой-то смысл, — говорит Дан Маккол, исполнительный вице-президент компании Guardent, предоставляющей услуги в области безопасности. — Дело явно идет к конвергенции этих технологий».
Как рассказал Крис Рокл, директор NetScreen по маркетингу, его компания, выпускающая МСЭ на базе специализированных микросхем и виртуальные частные сети, летом 2002 г. купила фирму OneSecure, поставщика систем обнаружения вторжений, и теперь планирует интегрировать эти технологии.
В первой половине нынешнего года NetScreen выпустит модернизированные варианты своих устройств, которые позволят использовать некоторые возможности базовой системы обнаружения вторжения OneSecure. Через год-полтора компания намерена выпустить новую аппаратную платформу, в которой оба технологических направления обеспечения безопасности будут полностью интегрированы. У разработчиков NetScreen свое видение будущей модели шлюза: по словам Рокла, он будет содержать универсальные процессоры, специализированные микросхемы и сетевые процессоры.
Компания Check Point в начале этого года предложила технологию SmartDefense, которая интегрирована в ПО FireWall-1 и выполняет функцию обнаружения и предотвращения вторжений, сообщил директор Check Point по маркетингу продуктов Грег Смит.
«SmartDefense — одно из самых важных усовершенствований FireWall-1 за последние два года», — утверждает он. ПО обнаруживает атаки, выискивая необычные особенности сетевого трафика, а также ищет признаки известных способов атак. Check Point предлагает пользователям обновление базы сигнатур для обнаружения вторжений, предоставляя эту услугу в режиме онлайн по подписке.
По словам Смита, SmartDefense дополняет поставляемые другими компаниями IDS-программы, которые обнаруживают атаки, осуществляемые не через шлюз Интернета. Check Point планирует расширить возможности системы SmartDefense. «Мы уверены, что эта область разработок имеет стратегическое значение», — подчеркнул он.
Включение функций обнаружения вторжений в МСЭ повышает эффективность обнаружения вторжений и тем самым безопасность систем, напомнил Маккол. По его словам, сегодня системы обнаружения вторжений выполняют функцию оповещения об опасности, а их интеграция в МСЭ позволит программе лучше реагировать на сигналы тревоги.
Межсетевые экраны и системы обнаружения вторжений до сих пор были отдельными элементами систем защиты, но сегодня поставщики предпринимают шаги к их интеграции.
«МСЭ либо пропускает, либо блокирует пакеты данных. Поэтому, на мой взгляд, именно здесь нужна интеграция двух технологий. Системы обнаружения вторжения достаточно «разумны», чтобы не разрывать все соединения лишь потому, что им почудилась попытка вторжения. Они будут принимать решения «на лету». Поэтому и необходимо использовать их вместе с МСЭ», — пояснил Маккол.
Однако идею интеграции систем обнаружения вторжения с МСЭ одобряют не все.
«Расширение функций МСЭ полезно, — сказал Марк Меллис, консультант компании SystemExperts, предлагающей консалтинговые услуги в сфере информационной безопасности. — Он будет эффективнее блокировать нежелательный трафик. Но не стоит класть все яйца в одну корзину. Защиту лучше делать многоуровневой».
Другой консультант SystemExperts, Джейсон Рид, также уверен, что сочетание различных систем обнаружения вторжения и МСЭ от разных поставщиков обеспечит более надежную защиту: если атаку не отразит одно устройство, это может сделать другое.
Гари Фиш, президент и главный управляющий компании FishNet Security, согласен, что какую-то часть функций системы обнаружения вторжений имеет смысл интегрировать в МСЭ, но все же считает, что совокупность передовых разработок разных поставщиков предпочтительнее интегрированного продукта. Последний может обойтись дешевле, но будет менее надежным, пояснил Фиш.
«Возможно, поставщикам МСЭ есть смысл интегрировать функции систем обнаружения вторжений в свои продукты. Но мне не верится, что такие устройства смогут заменить обычные системы обнаружения вторжений, устанавливаемые в сетях», — добавил он.