«Слепой прогон»: почему ваш IPS начинает стрелять по своим в первый же день

В сфере искусственного интеллекта произошло заметное событие. Andrey_Biryukov только что «Слепой прогон»: почему ваш IPS начинает стрелять по своим в первый же день Средний 6 мин 21 Блог компании OTUS Сетевые технологии * Системное администрирование * Мнение Привет, Хабр! Меня зовут Андрей Бирюков. Я независимый эксперт в области ИТ и ИБ, преподаю в учебных центрах и пишу книги.

Системы обнаружения/предотвращения вторжений (IDS/IPS) наряду с межсетевыми экранами являются наиболее распространенными средствами защиты, используемыми в большинстве организаций. В большинстве компаний, где мне приходилось внедрять системы ИБ, IDS либо уже использовался, либо мы его внедряли. Сейчас многие решения по обнаружению атак встроены в аппаратные межсетевые экраны и не требуют отдельного устройства.

Технические детали

Но, несмотря на большую распространенность этих решений, во многих организациях их используют совершенно неправильно. Представьте, что вы купили новую охранную сигнализацию, подключили её к сети датчиков движения и включили в боевой режим. Через час она орёт от каждого сквозняка, шороха собственной кошки и вибрации от проезжающей снегоуборочной машины.

Соседи пишут заявления, вы отключаете датчики один за другим, а через неделю выбрасываете систему на помойку. С сетевыми IPS/IDS происходит ровно та же история, только вместо кошки — легитимные бэкапы, а вместо снегоуборочной машины — массовые обновления Windows по WSUS и аналогичные сетевые активности. В этой статье мы будем говорить преимущественно об ошибках при использовании IPS, то есть систем, которые блокируют трафик, но и к системам IDS, создающим только уведомления без блокировок, тема статьи тоже имеет непосредственное отношение, так как большое количество уведомлений, вызванных ложными срабатываниями, также является ошибкой настройки IDS.

Основная ошибка при внедрении IPS носит имя «отсутствие baseline», то есть эталонного профиля нормального трафика. Как у нас обычно бывает с внедрением ИТ и ИБ систем. Руководитель требует быстрого результата, аудитор давит, что «система обнаружения вторжений должна быть внедрена до конца квартала», и команда ИБ сразу включает фильтрацию в режиме inline — блокировать.

Отраслевые последствия

И мы тут же получаем шквал ложных срабатываний. При этом самые опасные ложные срабатывания — не те, что просто пишут алерт в лог, а те, которые рвут бизнес‑критические сессии. К примеру, IPS, увидев необычно длинную строку в URL (а для бэкенда это обычный Base64-кодированный параметр поиска), решает, что идёт попытка SQL‑инъекции, и отправляет RST‑пакет.

Сервер приложений падает в ошибку, клиент видит «502 Bad Gateway», менеджер бежит к вам с вопросом, почему сломалась выгрузка отчётности.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.