Блок 2. Ключевые технологии защиты IDS и IPS: обнаружение vs предотвращение Слайд 5 / 15
РежимОписаниеКогда применятьРискиТюнинг
МОНИТОРИНГ
Классический IDS (Intrusion Detection System / система обнаружения вторжений)		 Все события логируются, ничего не блокируется Baseline и первые месяцы работы Перегрузка SOC (Security Operations Center / центр операционной безопасности) ложными срабатываниями (FP — False Positives) 2-3 месяца до стабилизации
ВСТРОЕННОЕ ОБНАРУЖЕНИЕ
Блокировка с высокой уверенностью		 Блокирует только точно известные атаки (высокая уверенность сигнатур) После первичного тюнинга, базовая защита Минимален, но ограниченная эффективность против целевых атак Постоянное обновление сигнатур
ВСТРОЕННОЕ ПРЕДОТВРАЩЕНИЕ
На основе белых списков (Whitelist-based)		 Блокирует всё, кроме явно разрешённого Только критические зоны (OT, платёжные системы) Огромный объём поддержки, риск блокировки легитимного трафика Непрерывный, требует выделенной команды
Уровень ЛС (FP — False Positives / ложные срабатывания) vs Время
Время (месяцы) FP/день 1000+ 200-300 30-50 0 1 3 6 Без тюнинга Базовый тюнинг Полный тюнинг + ML (Machine Learning / машинное обучение) $2M упущенной выручки за 4 часа IPS в Prevent без тюнинга → блокировка легитимного платёжного трафика. Откат в Monitor, 3 мес. тюнинг.
Стартап на 30 чел.
IDS обычно не нужен, нет SOC для реагирования на алерты. Достаточно облачных провайдеров средств мониторинга.
Корпорация на 5000 чел.
IDS обязателен, но интегрирован в SIEM (Security Information and Event Management / управление информацией и событиями безопасности), обрабатывается SOC 24/7. Без SOC бесполезен.
NDR (Network Detection and Response / обнаружение и реагирование в сети)
IDS следующего поколения с ML. Обнаружение аномалий без сигнатур.
NGFW (Next Generation Firewall / межсетевой экран нового поколения)
Встроенная IPS-функциональность. Снижает количество отдельных инструментов.
ZTNA (Zero Trust Network Access / доступ к сети на основе нулевого доверия)
Обходит проблему через принцип «ничего не доверяем по умолчанию». Устраняет необходимость в классическом IDS для удалённого доступа.
70% реальных инцидентов
С полным тюнингом + ML (Machine Learning / машинное обучение): 30-50 алертов/день, из которых 70%, реальные инциденты. Без тюнинга: 1000+ алертов/день, SOC не справляется.
Покупка IDS без тюнинга и SOC, классическая трата денег. «У нас есть IDS» звучит хорошо в отчёте, но не защищает. IDS это инструмент, который требует постоянной операционной работы. Без SOC он бесполезен. Спрашивайте CISO (Chief Information Security Officer / руководитель ИБ): кто будет обрабатывать алерты?
Лекция 10. Архитектурное планирование и выбор средств защиты Блок 2 / Слайд 5