ما المقصود بنظام منع التسلل (IPS)؟

تطورت حلول IPS من أنظمة كشف التسلل، التي تعمل على كشف التهديدات وإبلاغ فريق الأمن عنها. يحتوي IPS على نفس وظائف كشف التهديدات والإبلاغ عنها الموجودة في IDS، بالإضافة إلى قدرات الوقاية التلقائية من التهديدات، ولهذا يُطلق عليها أحيانًا اسم "أنظمة كشف التسلل ومنعه" (IDPS).

نظرًا لأن IPS يمكنها حظر حركة المرور الضارة مباشرةً، فإنها تقلل عبء العمل على فرق الأمن ومراكز العمليات الأمنية (SOCs)، ما يُتيح لهم التركيز على التهديدات الأكثر تعقيدًا. يمكن أن تساعد أنظمة IPS على فرض سياسات أمن الشبكات عن طريق حظر الإجراءات غير المصرح بها من المستخدمين الشرعيين، ويمكنها دعم جهود الامتثال. على سبيل المثال، يفي نظام IPS بمتطلبات معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS) لتدابير اكتشاف الاختراق.

تستخدم IPS ثلاث طرق رئيسية للكشف عن التهديدات، إما بشكل منفرد أو مجتمعة، لتحليل حركة المرور.

تعمل أساليب الكشف القائمة على التوقيع على تحليل حزم الشبكة بحثًا عن توقيعات الهجمات - وهي خصائص أو سلوكيات فريدة مرتبطة بتهديد محدد. ويُعَد تسلسل التعليمات البرمجية الذي يظهر في متغيّر برنامج ضار محدد أحد الأمثلة على توقيع الهجوم.

يحتفظ IPS القائم على التوقيع بقاعدة بيانات لتوقيعات الهجمات، والتي يقارن بها حزم الشبكة. إذا أدَّت الحزمة إلى حدوث تطابق مع أحد التوقيعات، يستجيب IPS. يجب تحديث قواعد بيانات التوقيعات بانتظام بمعلومات استعلامات التهديدات مع ظهور الهجمات الإلكترونية الجديدة وتطوُّر الهجمات الحالية. ومع ذلك، يمكن للهجمات الجديدة تمامًا التي لم يتم تحليلها بعد بحثًا عن التوقيعات أن تتهرب من IPS القائم على التوقيع.

تستخدم طرق الكشف القائمة على الحالات الشاذة الذكاء الاصطناعي والتعلم الآلي لإنشاء نموذج أساسي للنشاط الطبيعي للشبكة وتحسينه باستمرار. يقارن IPS نشاط الشبكة المستمر بالنموذج ويستجيب عندما يجد انحرافات، مثل العملية التي تستخدم نطاقًا تردديًا أكبر من المعتاد أو جهاز يفتح منفذًا مغلقًا عادةً.

نظرًا لأن أنظمة IPS القائمة على الحالات الشاذة تستجيب لأي سلوك غير طبيعي، فإنها غالبًا ما يمكنها منع الهجمات الإلكترونية الجديدة تمامًا التي قد تتفادى الكشف القائم على التوقيع. يمكنها أيضًا كشف حالات الاستغلال دون انتظار - الهجمات التي تستفيد من الثغرات الأمنية في البرامج قبل أن يعرفها مطور البرنامج أو يكون لديه الوقت لتصحيحها.

ومع ذلك ، قد تكون أنظمة IPS القائمة على الحالات الشاذة أكثر عرضةً للإيجابيات الزائفة. حتى النشاط الحميد، مثل وصول مستخدم مصرح له إلى مورد شبكة حساس لأول مرة، يمكن أن يؤدي إلى تشغيل نظام IPS القائم على الحالات الشاذة. ونتيجةً لذلك، قد يتم طرد المستخدمين المصرح لهم من الشبكة أو حظر عناوين IP الخاصة بهم.

تعتمد أساليب الكشف القائم على السياسات على سياسات الأمان التي وضعها فريق الأمن. كلما اكتشف نظام IPS القائم على السياسات إجراءً ينتهك سياسة أمنية، يحظر المحاولة.

على سبيل المثال، قد يعمل مركز العمليات الأمنية (SOC) على وضع سياسات تحكُّم في الوصول تحدِّد المستخدمين والأجهزة المسموح لها بالوصول إلى مضيف معين. إذا حاول مستخدم غير مصرح له الاتصال بالمضيف، فإن IPS القائم على السياسات يوقفه.

رغم أن أنظمة IPS القائمة على السياسات توفِّر التخصيص، فإنها قد تتطلب استثمارًا كبيرًا مقدمًا. يجب على فريق الأمن وضع مجموعة شاملة من السياسات توضِّح ما هو مسموح به وما هو غير مسموح به في جميع أنحاء الشبكة.

بينما تستخدم معظم أنظمة IPS طرق الكشف عن التهديدات الموضحة أعلاه، يعتمد بعضها على تقنيات أقل شيوعًا.

يعمل الكشف القائم على السمعة على الإشارة إلى حركة المرور القادمة من عناوين IP والنطاقات المرتبطة بأنشطة خبيثة أو مشبوهة وحظرها. يركِّز تحليل البروتوكولات القائم على الحالة على سلوك البروتوكول - على سبيل المثال، قد يكتشف الهجوم الموزع لحجب الخدمة (DDoS) عبر رصد عنوان IP واحد يرسل العديد من طلبات الاتصال عبر TCP في وقت قصير.

عندما يكتشف IPS تهديدًا، يعمل على تسجيل الحدث وإرساله إلى مركز العمليات الأمنية (SOC)، غالبًا عبر أداة إدارة المعلومات والأحداث الأمنية (SIEM) (انظر "إدارة المعلومات والأحداث الأمنية (SIEM) والحلول الأمنية الأخرى").

لكن IPS لا يكتفي بذلك. يتخذ IPS تلقائيًا إجراءات ضد التهديد باستخدام تقنيات مثل:

يمكن أن تكون حلول IPS تطبيقات برمجية مثبَّتة على نقاط النهاية، أو أجهزة مخصصة متصلة بالشبكة، أو مقدَّمة كخدمات سحابية. نظرًا لضرورة قدرة IPS على حظر النشاط الخبيث في الوقت الفعلي، فإنها توضع دائمًا "في مسار الشبكة"، أي تمر حركة المرور مباشرةً عبر IPS قبل الوصول إلى وجهتها.

يتم تصنيف IPSs بناءً على مكان وجودها في الشبكة ونوع النشاط الذي تراقبه. يستخدم العديد من المؤسسات أنواعًا متعددة من أنظمة IPS في شبكاتها.

يراقب نظام منع التسلل القائم على الشبكة (NIPS) حركة المرور الواردة والصادرة إلى الأجهزة عبر الشبكة، ويفحص الحزم الفردية بحثًا عن نشاط مشبوه. يتم وضع أجهزة مراقبة NIPS في نقاط استراتيجية في الشبكة. غالبًا ما يتم وضعها مباشرةً خلف جدران الحماية عند محيط الشبكة لتتمكن من إيقاف حركة المرور الخبيثة التي تحاول الاختراق. يمكن أيضًا وضع NIPS داخل الشبكة لمراقبة حركة المرور من الأصول الحساسة وإليها، مثل مراكز البيانات أو الأجهزة.

يتم تثبيت نظام منع التطفل القائم على المضيف (HIPS) على نقطة نهاية محددة، مثل الكمبيوتر المحمول أو الخادم، ويراقب فقط حركة المرور من وإلى هذا الجهاز. عادةً ما يتم استخدام HIPS جنبًا إلى جنب مع NIPS لإضافة أمان إضافي للأصول. يمكن لأنظمة HIPS أيضًا منع الأنشطة الضارة من عقدة شبكة مخترقة، مثل برامج الفدية التي تنتشر من جهاز مصاب.

تراقب حلول تحليل سلوك الشبكة (NBA) تدفقات حركة مرور الشبكة. قد تعمل حلول NBA على فحص الحزم مثل أنظمة IPS الأخرى ولكن العديد من أنظمة NBA تركِّز على تفاصيل المستوى الأعلى لجلسات الاتصال، مثل عناوين IP المصدر والوجهة والمنافذ المستخدمة وعدد الحزم المرسلة.

تستخدم أنظمة NBAs أساليب الكشف القائمة على الحالات الشاذة، حيث تقوم بالإبلاغ عن أي تدفقات تنحرف عن القاعدة وحظرها، مثل هجوم DDoS على حركة المرور أو جهاز مصاب ببرامج ضارة يتواصل مع خادم أوامر وتحكُّم غير معروف.

يراقب نظام منع التسلل اللاسلكي (WIPS) بروتوكولات الشبكة اللاسلكية بحثًا عن أي نشاط مشبوه، مثل المستخدمين غير المصرح لهم والأجهزة التي تصل إلى شبكة wifi الخاصة بالشركة. إذا اكتشف WIPS كيانًا غير معروف على شبكة لاسلكية، فيمكنه إنهاء الاتصال. يمكن أن يساعد نظام WIPS أيضًا على كشف الأجهزة التي تمت تهيئتها بشكل خطأ أو غير آمنة على شبكة wifi واعتراض هجوم الوسيط، حيث يتجسس المخترق سرًا على اتصالات المستخدمين.

على الرغم من توفُّر أنظمة IPS كأدوات مستقلة، فهي مصممة لتتكامل بشكل وثيق مع الحلول الأمنية الأخرى كجزء من نظام أمن إلكتروني شامل.

غالبًا ما يتم توجيه تنبيهات IPS إلى SIEM الخاص بالمؤسسة، حيث يمكن دمجها مع تنبيهات ومعلومات من أدوات أمان أخرى في لوحة معلومات مركزية واحدة. يُتيح تكامل IPS مع SIEM لفرق الأمن تعزيز تنبيهات IPS باستعلامات إضافية حول التهديدات، وتصفيتها من الإنذارات الكاذبة، ومتابعة نشاط IPS لضمان حظر التهديدات بنجاح. يمكن أن تساعد SIEMS أيضًا مراكز العمليات الأمنية على في تنسيق البيانات من أنواع مختلفة من أنظمة IPS، حيث تستخدم العديد من المؤسسات أكثر من نوع واحد.

كما ذكرنا سابقًا، تطورت أنظمة IPS من أنظمة IDS ولديها العديد من الميزات نفسها. بينما قد تستخدم بعض المؤسسات حلول IPS وIDS منفصلة، فإن معظم فرق الأمن تعتمد حلًا متكاملًا واحدًا يوفر كشفًا قويًا، وتسجيلات، وتقارير، ومنع التهديدات تلقائيًا. يمكِّن العديد من أنظمة IPS فرق الأمن من تعطيل وظائف المنع، ما يُتيح لها العمل كأنظمة IDS بحتة إذا أرادت المؤسسة ذلك.

تعمل أنظمة IPS كخط دفاع ثانٍ خلف جدران الحماية. تعمل جدران الحماية على حظر حركة المرور الضارة عند محيط الشبكة، بينما تعترض أنظمة IPS أي شيء يتمكن من اختراق جدار الحماية والوصول إلى الشبكة. تحتوي بعض جدران الحماية، وخاصةً جدران الحماية من الجيل التالي، على وظائف IPS مدمجة.