Триколор 

Системы обнаружения атак. Обнаружение вторжений

В идеальном мире, в Вашу сеть заходят только те кто нужно - коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Но как только Вы приходите к решению что хотите открыть доступ к Вашей внутренней сети в режиме 24/7 Вам следует понимать что пользоваться этой «дверью» будут не только «хорошие парни». Обычно в ответ не такое утверждение можно услышать что-то типа «ну это не про нас, у нас маленькая компания», «да кому мы нужны», «что у нас ломать то, нечего».

И это не совсем верно. Даже если представить компанию, в которой на компьютерах нет ничего, кроме свежеустановленной ОС - это ресурсы. Ресурсы которые могут работать. И не только на Вас.

Поэтому даже в этом случае эти машины могут стать целью атакущих, например, для создания ботнета, майнинга биткоинов, крэкинга хэшей…

Еще существует вариант использования машин Вашей сети для проксирования запросов атакущих. Таким образом, их нелегальная деятельность ввяжет Вас в цепочку следования пакетов и как минимум добавит головной боли компании в случае разбирательств.

И тут возникает вопрос: а как отличить легальные действия от нелегальных?

Собственно, на этот вопрос и должна отвечать система обнаружения вторжений. С помощью нее Вы можете детектировать большинство well-known атак на свою сеть, и успеть остановить атакующих до того как они доберутся до чего-либо важного.

Обычно, на этом моменте рассуждений возникает мысль что то, что описано выше может выполнять обычный firewall. И это правильно, но не во всем.

Разница между функциями firewall и IDS на первый взгляд может быть не видна. Но IDS обычно умеет понимать контент пакетов, заголовки и содержание, флаги и опции, а не только порты и IP адреса. То есть IDS понимает контекст чего обычно не умеет firewall. Исходя из того, можно сказать что IDS выполняет функции Firewall, но более интеллектуально. Для обычного Firewall нетипична ситуация когда нужно, например, разрешать соединения на порт 22 (ssh), но блокировать только некоторые пакеты, в которых содержатся определенные сигнатуры.

Современные Firewall могут быть дополнены различными плагинами, которые могут делать похожие вещи, связанные с deep-inspection пакетов. Часто такие плагины предлагают сами вендоры IDS чтобы усилить связку Firewall — IDS.

В качестве абстракции, Вы можете представить себе IDS в качестве системы сигнализации Вашего дома или офиса. IDS будет мониторить периметр и даст Вам знать когда произойдет что-то непредусмотренное. Но при этом IDS никак не будет препятствовать проникновению.

И эта особенность приводит к тому что в чистом виде IDS, скорее всего, не то что Вы хотите от Вашей системы безопасности (скорее всего, Вы не захотите такую систему для охраны Вашего дома или офиса - в ней нет никаких замков).

Поэтому сейчас почти любая IDS это комбинация IDS и IPS (Intrusion Prevention System - Система предотвращения вторжений).

Далее, необходимо четко понимать чем отличаются IDS и VS (Vulnerability Scanner - Сканер уязвимостей). А отличаются они по принципу действия. Сканеры уязвомостей - это превентивная мера. Вы можете просканировать все свои ресурсы. Если сканер что-нибудь найдет, можно это исправить.

Но, после того момента как Вы провели сканирование и до следующего сканирования в инфраструктуре могут произойти изменения, и Ваше сканирование теряет смысл, так как больше не отражает реальное положение дел. Измениться могут такие вещи как конфигурации, настройки отдельных сервисов, новые пользователи, права существующих пользователей, добавиться новые ресурсы и сервисы в сети.

Отличие же IDS в том что они проводят детектирование в реальном времени, с текущей конфигурацией.

Важно понимать, что IDS, по факту, не знает ничего об уязвимостях в сервисах в сети. Ей это не нужно. Она детектирует атаки по своим правилам - по факту появления сигнатур в трафике в сети. Таким образом, если IDS будет содержать, например, сигнатуры для атак на Apache WebServer, а у Вас его нигде нету - IDS все равно детектирует пакеты с такими сигнатурами (возможно, кто-то пытается направить эксплоит от апача на nginx по незнанию, либо это делает автоматизированный toolkit).

Конечно же, такая атака на несуществующий сервис ни к чему не приведет, но с IDS Вы будете в курсе что такая активность имеет место.

Хорошим решением является объединение периодических сканирований уязвимостей и включенной IDS/IPS.

Методы детектирования вторжений. Программные и аппаратные решения.

Сегодня много вендоров предлагают свои решения IDS/IPS. И все они реализуют свои продукты по разному.

Разные подходы обусловлены разными подходами к категоризации событий безопасности, атак и вторжений.

Первое, что надо учитывать - это масштаб: будет ли IDS/IPS работать только с трафиков конкретного хоста, или же она будет исследовать трафик целой сети.

Второе, это то как изначально позиционируется продукт: это может программное решение, а может быть аппаратное.

Давайте посмотрим на, так называемые, Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS является, как раз, примером программной реализации продукта и устанавливается на одну машину. Таким образом, система такого типа «видит» только информацию, доступную данной машине и, соответственно, детектирует атаки только затрагивающие эту машину. Преимущество систем такого типа в том, что будучи на машине, они видят всю ее внутреннюю структуру и могут контролировать и проверять намного больше объектов. Не только внешний трафик.

Такие системы обычно следят за лог-файлами, пытаются выявить аномалии в потоках событий, хранят контрольные суммы критичных файлов конфигураций и периодически сравнивают не изменил ли кто-то эти файлы.

А теперь давайте сравним такие системы с network-based системами (NIDS) о которых мы говорили в самом начале.

Для работы NIDS необходим, по сути, только сетевой интерфейс, с которого NIDS сможет получать трафик.

Далее все что делает NIDS - это сравнивает трафик с заранее заданными паттернами (сигнатурами) атак, и как только что-то попадает под сигнатуру атаки, Вы получаете уведомление о попытке вторжения. NIDS также способны детектировать DoS и некоторые другие типы атак, которые HIDS просто не может видеть.

Можно подойти к сравнению и с другой стороны:

Если Вы выбираете IDS/IPS реализованную как программное решение, то получаете контроль над тем на какое «железо» Вы будете ее устанавливать. И, в случае, если «железо» уже есть, Вы можете сэкономить.

Также в программной реализации существуют и бесплатные варианты IDS/IPS. Конечно, надо понимать, что используя бесплатные системы Вы не получаете такого же саппорта, скорости обновлений и решения проблем, как с платными вариантами. Но это хороший вариант для начала. В ними Вы можете понять что Вам действительно нужно от таких систем, увидите чего не хватает, что ненужно, выявите проблемы, и будете знать что спросить у вендоров платных систем в самом начале.

Если же Вы выбираете hardware решение, то получаете коробку, уже практически готовую к использованию. Плюсы от такой реализации очевидны — «железо» выбирает вендор, и он должен гарантировать что на этом железе его решение работает с заявленными характеристиками(не тормозит, не виснет). Обычно внутри находится некая разновидность Linux дистрибутива с уже установленным ПО. Такие дистрибутивы обычно сильно урезаны чтобы обеспечивать быструю скорость работы, оставляются только необходимые пакеты и утилиты (заодно решается проблема размера комплекта на диске - чем меньше тем меньше нужен HDD - тем меньше себестоимость - тем больше прибыль!).

Программные же решения часто очень требовательны к вычислительными ресурсам.

Отчасти из-за того в «коробке» работает только IDS/IPS, а на серверах с программными IDS/IPS обычно запущено всегда очень много дополнительных вещей.

Системы обнаружения вторжений или IDS (Intrusion Detection System) появились не так давно, по крайней мере если сравнивать их с антивирусами или файрволами. Возможно по этой причине службы информационной безопасности не всегда считают нужным внедрять эти решения, уделяя основное внимания другим системам в области ИБ. А ведь практическая польза от IDS существует и она довольно существенна.

В отличие от межсетевых экранов, которые функционируют на базе заранее определенных политик, IDS служат для мониторинга и выявления подозрительной активности. Таким образом, IDS можно назвать важным дополнением для инфраструктуры сетевой безопасности. Именно с помощью с истемы обнаружения вторжений администратор сможет детектировать неавторизованный доступ (вторжение или сетевую атаку) в компьютерную систему или сеть, и предпринять шаги по предотвращению атаки.

В целом, благодаря IDS, представляющем собой программное или аппаратное решение, администратор сможет не только о бнаружить вторжение или сетевую атаку, но и спрогнозировать возможные будущие атаки и найти уязвимости для предотвращения их вторжения. Ведь атакующий предварительно выполняет ряд действий, таких как сетевое сканирование для обнаружения уязвимостей целевой системы. Кроме того, служба ИТ сможет документировать существующие угрозы и локализировать источник атаки по отношению к локальной сети: внешние или внутренние атаки.

От обнаружения вторжений - к предотвращению

В свою очередь, системы предотвращения IPS (Intrusion Prevention System) появились на базе IDS, то есть каждая IPS включает в себя модуль IDS. По своим функциям они довольно схожи, но есть и отличие, оно состоит в том, что заключается в том, что первая система - это «пассивное» решение, которая занимается мониторингом сетевых пакетов, портов, сравнивает трафик с определенным набором правил и оповещением при обнаружении вредоносностей, в то время как IPS блокирует его при попытках проникновения в сеть. В случае риска вторжения сетевое соединение отключается, либо блокируется сессия пользователя с остановкой доступа к ІР-адресам, аккаунту, сервису или приложению.

Кроме того, чтобы отвести угрозу атаки, IPS-устройства способны провести перенастройку межсетевого экрана или маршрутизатора. Некоторые решения также используют накатывание новых патчей при повышенной уязвимости хоста. Тем не менее, необходимо признать, что технологии IDS/ IPS не делают систему абсолютно безопасной.

Особенности архитектуры

При развертывании систем IPS используется четыре основных технологии. Первая - это установка выделенных устройств по периметру корпоративной сети, а также внутри нее. Как правило, IPS интегрирована в инфраструктуру, поскольку такой вариант намного выгоднее автономного решения. Прежде всего, потому что стоимость интегрированного устройства ниже цены автономного (stand-alone) устройства, да и стоимость внедрения ниже. В-третьих, выше надежность, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам.

Как правило, IPS интегрируют в маршрутизатор, тогда система получает доступ к анализируемому трафику. Это вторая используемая технология. Однако у этого варианта есть недостаток: интегрированная в маршрутизатор IPS способна отражать атаки только на периметре сети. Поэтому, чтобы защитить внутренние ресурсы, механизмы предотвращения атак внедряют в коммутаторы локальной сети.

Системы IDS/IPS устанавливаются по периметру корпоративной сети

Третий форпост IPS связан с быстро растущей популярностью беспроводных технологий. Поэтому системами IPS сегодня активно оснащают и точки беспроводного доступа. Подобные решения, помимо обнаружения и предотвращения различных атак, способны находить несанкционированно установленные точки доступа и клиентов.

Еще одним рубежом обороны является рабочая станция или сервер. В этом случае система IPS на рабочей станции или сервере устанавливается как прикладное ПО поверх ОС и называется Host IPS (HIPS). Подобные решения выпускаются множеством производителей. Например , можно отметить продукты , , , и другие .

Использование системы Host IPS ведет к сокращению частоты установки критических обновлений, помогает защищать конфиденциальные данные и выполнять регулятивные требования и предписания. Она сочетает в себе систему предотвращения вторжений (IPS) на основе анализа поведения и сигнатур, брандмауэр, имеющий функцию отслеживания состояния соединений, и механизм блокирования приложений с целью защиты всех конечных точек — настольных ПК, ноутбуков и серверов — от известных и неизвестных угроз.

Основные ошибки при внедрении

Системы IDS/IPS - это довольно сложный инструмент, требующий определенной квалификации при внедрении и постоянного внимания во время эксплуатации. Если этого не делать, то системы часто будут генерировать ложный сигнал, ошибочно определяя трафик как вредоносный.

Чтобы системы предотвращения вторжений работала надежно, требуется произвести настройку точности. Кроме того, устройство необходимо перманентно подстраивать при изменении конфигурации сети, а также к новым угрозам, появившимся в сети.

Эксперты называют семь основных ошибок при развертывании и эксплуатации систем Host IDS/IPS.

Во-первых, нельзя блокировать сигнатуры среднего и высокого уровня опасности без предварительного анализа собранных данных. Вместо этого рекомендуется заблокировать только сигнатуры высокого уровня опасности. Это обеспечит защиту от наиболее серьезных уязвимостей при небольшом числе ложных событий. В свою очередь, сигнатуры среднего уровня опасности работают по поведенческому алгоритму и обычно требуют обязательной предварительной настройки.

Во-вторых, нельзя использовать во всех системах одни и те же политики. Вместо этого надо разделить ПК на группы по приложениям и привилегиям, начиная с создания стандартных профилей для самых простых систем.

Далее, система Host IPS не приемлет принципа «поставил и забыл». В отличие от антивируса, здесь для обеспечения точности и эффективности защиты требуется регулярный мониторинг и регулярное обслуживание системы.

Кроме того, нельзя одновременно включать IPS, брандмауэр и режим блокирования приложений. Рекомендуется начать с IPS, затем добавить брандмауэр, а потом при необходимости активировать режим блокирования приложений.

Также нельзя оставлять IPS, брандмауэр или механизм блокирования приложений в адаптивном режиме на неопределенный срок. Вместо этого надо включить адаптивный режим на короткие промежутки времени, когда у ИТ-администратора есть возможность отслеживать создаваемые правила.

И наконец, нельзя немедленно блокировать все, что система распознает как вторжение. Сначала стоит убедиться, что наблюдаемый трафик действительно является вредоносным. В этом помогут такие средства, как захват пакетов, сетевой IPS и другие.

Публикации по теме

29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.

28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.

28 января 2014 По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.

30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

Что такое система предотвращения атак

Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). IDS изначально лишь детектировали угрозы прослушивая трафик в сети и на хостах, а затем посылали администратору оповещения различными способами. IPS сейчас блокируют атаки сразу в момент их обнаружения, хотя могут и работать в режиме IDS - только оповещая о проблемах.

Иногда функционал IPS понимают как совместное функционирование в одном устройстве и IDS и firewall. Это часто вызвано тем, что некоторые IPS имеют встроенные правила блокирования пакетов по адресу источника и получателя. Однако, это не firewall. В firewall блокирование трафика полностью зависит от вашего умения настраивать правила, а в IPS от умения программистов производителя писать безошибочные алгоритмы поиска атак в идущем по сети трафике. Есть еще одна «похожесть»: технология firewall, известная как statefull inspection, очень похожа на одну из технологий, используемых в IPS для идентификации принадлежности разных соединений одному сетевому протоколу, и тут она называется port following. Различий гораздо больше, например, Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет.

Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. Для работы в соответствующем режиме в IPS встраивают так называемый модуль обхода. Благодаря ему, даже если вы случайно выключите питание IPS, то трафик будет идти свободно через устройство. Иногда IPS тоже настраивают блокировать трафик при выходе из строя - но это частные случаи, чаще всего используемые, когда два устроства используются в режиме High Avalability.
IPS это значительно более сложное устройство чем firewall. IPS используют для угроз, с которыми последний не справился. IPS заключает в себе концентрированные знания огромного числа специалистов по безопасности, которые выявили, нашли закономерности и затем запрограммировали код, выявляющий проблемы, в виде правил анализа контента идущего по сети.

IPS в корпоративных сетях являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. В итоге, для каждой атаки сейчас есть возможности не только идентифицировать ее, а затем оповестить администратора или заблокировать, но и провести полный анализ инцидента: собрать пакеты идущие от атакующего, инициировать расследование, произвести устранение уязвимости путем модификации пакета.

В сочетании с правильной системой управления безопасностью появляется возможность контролировать действия самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. Что, в общем, внесло осязаемый смысл в работу таких систем. Какой смысл говорить о проблемах в сети, если на эти проблемы никто не реагирует и не несет ответственности за это? Всем известна эта вечная проблема: тот кто несет убытки от нарушения работы компьютерной системы и тот кто защищает эту систему - разные люди. Если не рассматривать крайний случай, например, домашнего компьютера подключенного к Интернет.

Задержки трафика

С одной стороны хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее самим устройством. Но с другой стороны системы предотвращения атак приходится ставить не на SPAN порт свитча, а пропускать весь сетевой трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети. А в случае с VoIP это критично, хотя, если вы собираетесь защищаться от атак на VoIP, то другого способа защититься от таких атак нет.

Таким образом, одной из характеристик, по которой вам необходимо оценивать систему предотвращения атак при покупке являются величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно почитать исследования независимых тестовых лабораторий, например NSS. Доверять производителю одно, а проверить самому - другое.

Количество ложных срабатываний

Второй характеристикой на которую нужно смотреть: количество ложных срабатываний. Так же как мы раздражаемся от спама, точно такое же впечатление производят ложные срабатывания на администраторов безопасности. В конце концов администраторы, чтобы защитить свою психику, просто перестают реагировать на все сообщения системы и ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить эту систему более менее адекватно именно к угрозам в вашей сети нужно потратить уйму времени.

В некоторых системах обнаружения и предотвращения атак встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например от сканера безопасности. Например, если сканер безопасности увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со сто процентной уверенностью сказать что атака червя Slammer (которая нацелена на MS SQL) на данный сервер не пройдет. Таким образом такие системы корреляции помечают часть атак как неудавшиеся, что сильно облегчает работу администратора.

Современность защитных технологий

Третьей характеристикой являются методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Изначально существует два разных подхода: сигнатурные IPS ищут атаки, основываясь на найденных ранее эксплойтах, а IPS с анализом протоколов ищут атаки на базе знаний о найденных ранее уязвимостях. Если написать новый эксплойт для той же уязвимости, то IPS первого класса не обнаружат и не блокируют его, а второго класса и обнаружат и заблокируют. IPS второго класса гораздо эффективнее, поскольку блокируют целые классы атак. В итоге, у одного производителя нужно 100 сигнатур для обнаружения всех разновидностей одной и той же атаки, у другого достаточно одного правила, анализирующего уязвимость протокола или формата данных, которыми все эти разновидности атак пользуются. Недавно появился термин превентивная защита. В него включаются и возможность защиты от атак, которые еще неизвестны и защита от атак, которые уже известны, но производитель еще не выпустил патча. Вообще слово «превентивная» очередной американизм. Есть более русский термин: «своевременная» - та защита, которая срабатывает до того как нас взломали или заразили, а не после. Такие технологии уже есть и их надо использовать. Спросите у производителя при покупке: какие технологии превентивной защиты у них использованы и вы все поймете.

К сожалению, еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому вам для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов. Другое будет использовать методы статистические и аналитические по анализу аномалий в поведении сетевых потоков. Сигнатурные методы еще используются во многих системах обнаружения и предотвращения атак, но к сожалению они не оправдывают себя. Они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Сигнатурные антивирусы не справляются сейчас с новыми вирусами по той же причине - реактивность защиты. Поэтому, самыми передовыми методами анализа атак сейчас является полный анализ протокола. Идея этого метода в том, что анализируется не конкретная атака, а в самом протоколе ищется признак использования уязвимости атакующим. Например, система может отследить был ли перед началом TCP пакета с атакой трехпакетный обмен по установлению TCP соединения (пакеты с флагами SYN, SYN+ACK, ACK). Если перед проведением атаки нужно установление соединения, то система по анализу протоколов проверит были ли оно и если пойдет пакет с атакой без установления соединения, то она обнаружит, что такая атака неуспешна, поскольку соединения не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по другому. Они анализируют сетевой трафик (например, около недели) и запоминают какие сетевые потоки идут обычно. Как только возникает трафик, который не соответствует запомненному поведению - ясно, что в сети что-то происходит новое: например, распространение нового червя. Кроме того, такие системы связаны с центром обновлений и раз в час или чаще получают новые правила поведения червей и и другие обновления, например, списки фишинговых сайтов, что позволяет им их сразу блокировать, или списки хостов управления бот сетями, что сразу позволяет детектировать заражение какого-то хоста, как только он пытается соедиться с центром управления бот сетью и т.д.

Даже появление нового хоста в сети - для поведенческой системы важное событие: надо узнать что за хост, что на нем установлено, есть ли на нем уязвимости, а может новый хост сам будет атакующим. Для провайдеров такие поведенческие системы важны тем, что они позволяют отслеживать изменения в «грузопотоке», ведь провайдеру важно обеспечить скорость и надежность доставки пакетов, а если вдруг с утра оказалось, что весь трафик идет по одному каналу и не умещается в нем, а остальные несколько каналов в Интернет через других провайдеров незадействованы, то это значит, что где-то сбились настройки и надо заняться балансировкой и перераспределением нагрузки.
Для хозяина небольшой сети важно, что внутри не завелись атакующие, чтобы сеть не записали в черный список спамеров, чтобы атакующие не забили весь канал в Интернет мусором. А ведь за Интернет канал и трафик надо платить провайдеру деньги. Каждый директор фирмы хотел бы вовремя обнаруживать и останавливать трату денег на трафик бесполезный для бизнеса.

Анализируемые протоколы и форматы данных

Если мы говорим о технических специалистах, которые принимают решение о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно вас интересует что-то конкретное: например анализ атак в javascript, или отражение попыток sql injection, или DDoS атак, или у вас вообще SCADA (система контроля и управления датчиками) и нужно анализировать протоколы вашей специализированной системы, или вам критично защищать протоколы VoIP, в которых уже имеются уязвимости при реализации в силу их сложности.
Кроме того, не все знают, что события IPS бывают не только типа «атака», бывают еще типы «аудит» и «статус». Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ - её использование - атака. Если нет - значит вы просто можете отслеживать все подключения и кто с кем общается. Или просто отключить эту сигнатуру, если считаете это нетичным.

Специалисты

Возникает вопрос: где же брать таких специалистов, которые разбираются что нужно купить, и которые потом будут знать как реагировать на каждое сообщение системы предотвращения атак и даже смогут ее настраивать. Понятно, что можно пойти на курсы по обучению управлением такой системы, но на самом деле человек должен сначала разбираться в сетевых протоколах, потом в сетевых атаках, а потом в методах реагирования. А такие курсы отсутствуют. Тут нужен опыт. Есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений поступающих с консолей систем безопасности. В них работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернет и они обеспечивают эффективную защиту, а вы в свою очередь избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии имеющихся средств защиты начиная от VPN и заканчивая антивирусами. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А нанять специалиста обычно можно только на работу с понедельника по пятницу с 9 до 18, и то он иногда болеет, учится, ходит на конференции, ездит в командировки и, бывает, что неожиданно увольняется.

Поддержка продукта

Важно подчеркнуть такой момент в IPS как поддержка своих продуктов производителем. К сожалению обновления алгоритмов, сигнатур и правил до сих пор необходимы, поскольку технологии и злоумышленники не стоят на месте и нужно постоянно закрывать новые классы уязвимостей в новых технологиях. Каждый год находят несколько тысяч уязвимостей. Наверняка, ваши программные и аппаратные средства содержат несколько из них. Как вы узнавали про уязвимости в них и как потом защищались? А ведь нужен постоянный контроль за актуальностью защиты. Поэтому важным компонентом является постоянная поддержка защитных средств, которым вы доверили безопасность своей компании: наличие профессиональной команды, которая постоянно отслеживает новые уязвимости и своевременно пишет новые проверки, которая сама ищет уязвимости, чтобы быть впереди злоумышленников. Так что когда покупаете такую сложную систему как IPS посмотрите на то, какую поддержку предлагает производитель. Нелишне узнать насколько хорошо и вовремя он справился с атаками, которые уже были в прошлом.

Защита от методов обхода IPS

На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. (Управление IPS осуществляется через отдельный порт управления.) Однако, существуют методы обхода IPS, позволяющие его «обмануть» и провести атаку на защищаемые ими сети. В популярной литературе эти методы подробно описаны. Например, тестовая лаборатория NSS активно использует методы обхода для проверки IPS. Производителям IPS сложно противодействовать этим методам. И то, как производитель справляется с методами обхода и является еще одной интересной характеристикой системы предотвращения атак.

Важность использования IPS в корпоративных сетях назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак уже разработаны, так что остается только их грамотно установить и эксплуатировать. В статье специально не были названы имена производителей, чтобы сделать обзор свойств IPS максимально непредвзятым.

Дмитрий Волков
Руководитель направления расследования ИТ-инцидентов, Group-IB

Современное развитие IPS

Сетевые системы предотвращения вторжений (IPS) могут стать как эффективным инструментом для людей, занимающихся безопасностью, так и дорогостоящей железякой, пылящейся без дела. Чтобы IPS-система не стала разочарованием, она должна как минимум отвечать следующим требованиям, которые необходимо учитывать при ее выборе.

Система должна:

  1. иметь широкий круг моделей, удовлетворяющих требованиям как маленьких региональных офисов, так и основного предприятия с многогигабитными сетями;
  2. поддерживать не только сигнатурный анализ, но и аномальный анализ протоколов, и, конечно же, поведенческий анализ;
  3. давать ясную картину сети и устройств, подключенных в нее;
  4. обеспечивать работу в режиме IDS, осуществлять поведенческий анализ, иметь инструментарий для проведения расследований;
  5. иметь централизованное управление установленными IPS/IDS-системами;
  6. иметь хорошие средства анализа для эффективного усовершенствования политик безопасности.

IDS/IPS-системы чаще всего подключают там, где есть критичные ресурсы. Но помимо того, что необходимо блокировать атаки на эти ресурсы, следует вести постоянный контроль за ними, а именно: знать, какие из этих ресурсов уязвимы, как изменяется их поведение в сети. Поэтому к IDS/IPS-системам необходимо добавить дополнительный функционал, позволяющий им защищать требуемые ресурсы более надежно, снижая при этом стоимость владения. Итак, защита может осуществляться в три фазы - IPS, Adaptive IPS, Enterprise Threat Management. Функционал каждой последующей фазы включает в себя все функции из предыдущей фазы и наращивается более новыми.


Фаза 1. Вы можете контролировать и/или блокировать атаки, использующие тысячи уязвимостей, то есть это стандартные IPS-сенсоры и центры управления ими.

Фаза 2. Появляется возможность исследования сети, прио-ритизации событий и автоматизации настройки IPS.

Фаза 3. Полный возможный функционал для защиты корпоративной сети до, во время и после атаки.

ETM - это первое воплощение осознанности того, что, защищая информационные ресурсы, необходимо работать умнее, а не усиленнее. С технологической точки зрения ETM - это комбинация четырех технологий управления угрозами и уязвимостями, объединенных в единое решение, управляющееся централизованно. В результате это решение предоставляет больше возможностей, чем каждый продукт по отдельности. Как показано на рис. 3, ETM состоит из системы предотвращения вторжений (IPS), поведенческого анализа сети (NBA), контроля доступа в сеть (NAC), анализа уязвимостей (VA), подсистемы обмена данными и централизованного управления.

Сравнение производителей IPS

На рис. 4 показано, кто из производителей IPS-систем находится в лидерах. Но, не привязываясь к Gartner, посмотрим на то, какой функционал имеется у каждого производителя.

Как видно, у некоторых отсутствуют такие важные функции, как расследование на пакетном уровне, а также просмотр и создание правил. Без таких возможностей порой абсолютно непонятно, почему система выдает предупреждения, и чтобы выяснить причину этих предупреждений, потребуется много времени.

Отсутствие механизма создания политик соответствия тоже накладывает определенные ограничения. Например, при внешнем аудите полезно продемонстрировать, как положения ваших политик выполняются на самом деле. Дальнейшие комментарии излишни, так как истинное положение вещей станет ясно лишь после реального внедрения в промышленной среде.

Необходимо помнить, что обеспечение сетевой безопасности - задача комплексная, а разрозненные решения далеко не всегда обеспечивают целостность восприятия и приводят к дополнительным затратам.

Краткий обзор

Cisco Systems

Надежные решения, имеют отличную поддержку, но тяжелы в настройке, сигнатурный анализ дает много ложных срабатываний, интерфейс управления при большом количестве событий не позволяет адекватно разбирать зафиксированные события. Для полноценного функционирования необходимы дополнительные капиталовложения в Cisco Security Monitoring, Analysis and Response System (CS-MARS).

TippingPoint

Системы этого производителя удобны в настройке и установке. Имеют неплохой интерфейс управления, но могут подключаться только в разрыв, то есть без пассивного обнаружения. Не позволяют расширить функционал и представляют собой просто IDS/IPS-систему.

На одной из конференций представитель TippingPoint в своем выступлении сказал, что их оборудование можно установить и забыть о нем - и такова их стратегия защиты.

Возможно, кто-то ее и разделяет, но мне с ней сложно согласиться. Любое средство безопасности должно быть контролируемо, иначе должной отдачи вы от него никогда не получите. Например, если кто-то упорно пытается взломать ваш партнерский портал и ему не удалось этого сделать в первые два раза благодаря IPS-системе, то в третий раз ему это удастся, а без контроля за IPS-системой вы этого не узнаете и предотвратить последующие попытки у вас не получится.

Juniper Networks

Что бы ни писали аналитики Gartner или других изданий, сказать что-то хорошее об их продуктах сложно. Система ужасно сложна в настройке. Консоль управления NSM очень сильно ограничена. Отображение результатов производится таким образом, что складывается впечатление, что разработчики постарались сделать так, чтобы на нее смотрели как можно реже и надеялись на то, что атаки действительно отражаются.

Sourcefire

Пожалуй, лучшая система. Удобно все. Функционал невероятно широк. К тому же система уже имеет встроенные возможности детального сбора данных, об атакующих и атакуемых узлах, а не только IP- и MAC-адреса, что сильно снижает время анализа и разбора событий. К такой информации относится и история соединений, открытые и затем
закрытые порты, типы передаваемого адреса, имена пользователей, если, например, шла передача по FTP или e-mail, и, конечно же, сам e-mail-адрес. В больших сетях может стать незаменимым средством защиты. Выпускают свои решения с 2001 г., но на российский рынок вышли недавно.

Заключение

Не стоит внедрять целый ряд новых продуктов, решающих только одну проблему. Статические средства безопасности не могут защитить динамическую среду. Необходимо беречь время ваших сотрудников и их усилия. Позвольте им работать более качественно, а не более напряженно. Сокращайте затраты на поддержку гетерогенной среды. Снижайте время, затрачиваемое на анализ данных с множества консолей и отчетов. Тратьте деньги с умом, пока системы безопасности не стали обходиться вам дороже рисков, от которых вы защищаетесь.

Цель данной статьи - не просто рассказать о возможностях IPS, но акцентировать внимание на уникальных функциональных возможностях системы, позволяющих решить ряд сложных проблем, с которыми сталкиваются предприятия в процессе конструкторско-технологической подготовки производства и которые отличают IPS от других PLM-систем, представленных на российском рынке.

Интеграция с системами автоматизированного проектирования

Еще с девяностых годов прошлого века компания ИНТЕРМЕХ начала ориентироваться на создание мультикад­решений, не зацикливаясь на интеграции с какой­то одной системой проектирования. Сегодня можно с уверенностью сказать, что из всех отечественных PLM­систем IPS обладает самым большим количеством интеграторов с механическими и электрическими системами автоматизированного проектирования: AutoCAD, BricsCAD, КОМПАС­График, КОМПАС 3D, Inventor, NX, Creo, SolidWorks, Solid Edge, CATIA, Altium Designer, Mentor Graphics, E3.series. Особо отметим, что это уже готовые работающие решения, а не обещания наладить интеграцию в процессе внедрения на предприятии.

В комплект поставки IPS входит универсальный модуль интеграции систем трехмерного проектирования с PLM­системами. Модуль встраивается в интерфейс CAD­системы и предоставляет конструктору доступ к функциям PLM непосредственно из системы проектирования. Модуль обеспечивает автоматическое считывание состава изделий из моделей сборочных единиц, генерацию по моделям конструкторских спецификаций, а также ассоциативную связь между свойствами моделей и атрибутами документов и изделий в PLM­системе. Также этот модуль позволяет организовать коллективную работу конструкторов над моделированием сложных сборок, предоставляя набор функций для синхронизации изменений, которые сделаны различными конструкторами в моделях, входящих в состав головной сборки (рис. 1).

Собственный редактор документов и бланков на основе формата XML

Разработчики IPS не стали надеяться на сторонние офисные пакеты или средства генерации отчетов, а создали собственный редактор структурированных текстовых документов, который использует для хранения данных формат XML. Такое решение позволило унифицировать создание, хранение и обработку любой текстовой конструкторско­технологической документации и реализовать в IPS целый ряд уникальных редакторов, аналогов которым нет ни в одной другой PLM­системе. Например, в комплект поставки IPS входит редактор состава изделий в виде конструкторской спецификации, включая групповые спецификации форм А, Б и В. При этом редактирование спецификации может производиться как в обычной табличной форме, так и в том же виде, в котором она будет выведена на печать. Конструктору также доступно множество функций по оформлению спецификации: автоматическая и ручная сортировка, пропуск строк и простановка позиций, оформление допустимых замен и подборных элементов, вставка примечаний, частей, спецсимволов и формул, связь с системами НСИ и многое другое (рис. 2).

Еще раз подчеркнем, что в IPS редактор спецификаций является именно редактором состава сборочных единиц, а не редактором документов, сформированных на основе состава изделий. Изменения в составе изделия, сделанные в других модулях системы, сразу отражаются в редакторе спецификаций IPS, и наоборот - любые изменения, сделанные в спецификации, сразу отражаются в рабочей копии состава изделий. Таким образом, состав изделия формируется параллельно из нескольких источников: трехмерной модели или двумерного сборочного чертежа, электрической схемы, редактора спецификаций и т.п. При этом каждая связь запоминает свой источник, поэтому обновление состава, например по модели, никогда не удалит позиции, добавленные в состав изделия вручную.

IPS (Intermech Professional Solutions) - универсальная система корпоративного уровня для управления информационными объектами.

IPS позволяет объединить в себе всю информацию о продукции и управлять ею: от концептуального дизайна до сдачи в производство, от изготовления отдельных экземпляров и партий до утилизации отслуживших свой срок изделий.

Программный комплекс IPS обеспечивает высокоэффективное управление данными на всех этапах разработки документации, подготовки производства, выпуска и эксплуатации продукции. Использование продуктов семейства IPS позволяет организовать производство в соответствии со стандартами качества (ISO 9000 и др.), сократить затраты на разработку и производство новых изделий, улучшить качество, сократить сроки выхода продукта на рынок, создать общекорпоративную информационную систему, объединить в единое информационное пространство ресурсы, процессы, продукцию и прочую информацию.

Редактор извещений об изменениях в IPS - тоже не просто редактор документов (рис. 3). Помимо собственно функций оформления извещений (вставка графики, формул, автоматическое заполнение различных граф, сортировка изменений и т.п.), редактор помогает управлять жизненным циклом изменяемых документов и объектов. Например, автоматически выпускает версии включаемых в извещение документов и перемещает их на нужный шаг жизненного цикла (ЖЦ) в момент актуализации извещения. Также извещения используются для автоматизации подбора версий объектов при поиске их состава и применяемости. Есть в системе и множество сервисных функций, помогающих организовать процесс проведения изменений: погасить ПИ, принять предложения по ПР, выпустить ДИ или ДПИ, создать комплект извещений и пр.

Следует также отметить, что проводить изменения документации в IPS можно и в упрощенной форме - через журнал изменений по ГОСТ 2.503­2013, редактор которого также есть в комплекте поставки системы.

Конфигуратор изделий

В ЕСКД существует такое понятие, как исполнение изделия. По одному групповому конструкторскому документу можно выпустить несколько различных исполнений изделия, не выпуская отдельный комплект документов на каждое исполнение. Это решение хорошо работает до тех пор, пока количество исполнений небольшое. Однако сейчас рынок диктует свои условия. Проектируемые изделия должны удовлетворять требованиям как можно большего количества заказчиков, а значит не обойтись без возможности настройки изделия под требования конкретного покупателя. В таких случаях на помощь конструкторам и маркетологам приходит «Конфигуратор изделий» в IPS. Данный модуль позволяет вести состав сложных изделий, обладающих множеством опций и функциональных зависимостей, не прибегая к созданию исполнений для каждого варианта изделия.

Конструктор, проектируя сборочный узел, может настроить набор опций, управляющих составом данного узла. При этом можно настроить правила совместимости значений различных опций, условия их применения, допустимость значений в данной сборке и т.п. Работники маркетинга могут создавать варианты комплектаций изделия, устанавливая значения для основных опций, которые чаще всего востребованы заказчиками в данном изделии. При оформлении заказа покупатель выбирает вариант комплектации изделия, доопределяет не заданные в комплектации значения опций и система формирует точный состав и комплект документации на конкретное изделие, отвечающее требованиям заказчика.

Распределенная работа крупных холдингов и филиалов предприятий

Наличием веб­интерфейса у информационных систем сейчас никого уже не удивишь. Большинство отечественных PLM обзавелись собственными средствами доступа в базу данных из веб­браузеров. Есть такой интерфейс и у IPS. Но что делать, если Интернет на рабочем месте по соображениям безопасности недоступен? Либо внешние каналы связи работают медленно и нестабильно? Как обеспечить быструю и стабильную работу сотен пользователей независимо от внешних факторов и каналов связи между предприятиями?

В составе IPS есть уникальное решение - служба IPS WebPortal. Суть данного решения в том, что каждое предприятие или филиал работает в собственной локальной сети со своей базой данных, а IPS WebPortal обеспечивает информационный обмен между этими локальными базами (узлами информационной сети) по внешним каналам связи через центральную базу данных портала, причем сама передача данных может производиться в offline­режиме (рис. 4). Такой способ работы значительно снижает требования к стабильности и пропускной способности внешних каналов связи, а также повышает безопасность данных, так как информационные узлы получают доступ только к опубликованной для них на портале информации, а не ко всем базам данных удаленных предприятий.

Функционал IPS WebPortal позволяет организовать распределенный документооборот, управление распределенными проектами, обмен информационными объектами в пакетном режиме, а также автоматическую репликацию изменений между различными базами данных. Программный интерфейс IPS WebPortal оформлен в виде стандартизованных веб­сервисов. Такой подход значительно упрощает подключение к порталу других информационных систем, позволяя использовать его в качестве средства обмена данными между различными информационными системами предприятий.

Передача документации заказчику

Еще одна проблема, решение которой хотелось бы рассмотреть подробнее, - это передача утвержденной документации на предприятия, на которых либо нет PLM­системы, либо PLM не поддерживает механизм электронных подписей. Выгрузить комплект электронных документов можно из любой PLM. Но как убедиться в том, что эти документы утверждены и подписаны всеми заинтересованными лицами? И как проверить, не изменялись ли переданные файлы с момента их подписания?

Для этой цели в IPS предусмотрена функция автоматического формирования информационно­удостоверяющих листов по ГОСТ 2.051­2013. При передаче твердых копий эти листы можно распечатать и, при необходимости, заверить «мокрой» подписью. При передаче электронной документации файлы удостоверяющих листов автоматически извлекаются на диск совместно с файлами документов. Листы содержат контрольные суммы подписанных файлов, что позволяет удостовериться в неизменности подписанных данных (рис. 5).

Если подписание документов в IPS производилось квалифицированными электронными подписями, то система имеет возможность выгрузки файлов подписей на диск в формате PKCS. Эти подписи могут быть проверены получателем документации с помощью любых средств проверки, понимающих стандарт PKCS. Можно также воспользоваться специальной программой проверки ЭП, которая поставляется вместе с IPS и может быть передана сторонним организациям вместе с комплектом подписанной документации.

Защита файлов документов на рабочих станциях

Все PLM­системы хранят файлы документов на защищенных серверах и предоставляют к ним доступ только в соответствии со своими правилами безопасности. Однако для редактирования документа во внешнем редакторе файл документа извлекается на диск рабочей станции либо на сетевой ресурс, открытый для доступа рабочим станциям. Таким образом, информация выводится из­под контроля PLM­системы, создавая угрозу безопасности данных. Для решения данной проблемы в состав IPS входит служба защиты файлов на рабочих станциях. Эта служба защищает рабочий каталог пользователя на уровне файловой системы NTFS, предоставляя доступ к нему только определенному пользователю и только после его авторизации в IPS. Как только пользователь выгружает клиент IPS любым доступным ему способом, доступ к каталогу пользователя автоматически блокируется.

Расширенные средства поиска информации

Помимо выборок, классификаторов и рабочего стола, которые в том или ином виде встречаются во всех отечественных PLM, разработчики IPS предложили целый ряд технических решений, значительно ускоряющих поиск информации в системе. Например, в окне Недавние объекты автоматически ведется список объектов, с которыми пользователь работал последнее время - своего рода рабочий стол, который не нужно пополнять и чистить вручную. А с помощью контекстных выборок можно искать информацию, используя свойства выбранного в системе объекта. Условия таких выборок могут содержать не константы, а ссылки на атрибуты объекта, относительно которого идет поиск информации. Например, можно быстро найти все детали, сделанные из такого же материала, не указывая в условиях поиска сам материал.

Следующий интересный механизм - общий индекс для быстрого поиска информационных объектов с учетом словоформ и коррекцией ошибок ввода. В индекс попадает информация из всех атрибутов, указанных администратором для индексации, включая содержимое файлов документов. При этом поиск информации для конечного пользователя значительно упрощается - ему не нужно создавать или находить выборки, достаточно просто ввести искомую строку в поле над списком объектов. Рядом располагается список часто используемых фильтров, с помощью которых можно еще более сузить область поиска объектов, добавив дополнительные условия фильтрации. Общий список фильтров настраивается администраторами системы, а пользователь может создавать свои персональные фильтры по аналогии с персональными выборками (рис. 6).

В IPS также есть специальный инструмент для поиска объектов по связям - схемы поиска объектов. Схема поиска - это именованный набор настроек и условий, согласно которым система ищет состав или применяемость объекта на один или множество уровней вложенности. С системой поставляется множество готовых схем поиска: для сбора полного комплекта документов на изделие или заказ, для поиска применяемости в головных изделиях, для поиска различной технологической информации и т.д. Администраторы могут расширять список схем, причем для каждой роли можно настроить собственный набор схем поиска в зависимости от обязанностей, которые выполняют пользователи, заходя в систему в данной роли.

Еще одна интересная тема - поиск электронного документа по его твердой копии. Такой вопрос может возникнуть даже в том случае, если на предприятии хорошо поставлена работа службы ОТД и все устаревшие копии документов отзываются своевременно. Зачастую вообще невозможно точно узнать, с какой именно версии документа создавалась данная твердая копия, если она еще не была поставлена на учет в ОТД и не получила соответствующий инвентарный номер. В таком случае может помочь технология штрихкодирования документов, реализованная в IPS. Суть технологии в том, что при распечатке документа в определенной области штампа выводится штрих­код, в котором закодирован идентификатор данной версии документа в PLM­системе. При наличии сканера штрих­кодов процесс поиска такого документа в базе данных занимает пару секунд.

Управление требованиями

Функционал управления требованиями давно стал обязательным в зарубежных PLM­системах, однако отечественные производители не спешат с его реализацией, ссылаясь на отсутствие спроса со стороны пользователей. Тем не менее руководство предприятий понимает, что максимально точное выполнение технического задания минимизирует количество проблем, возникающих в процессе приемки изделия заказчиком. И управление требованиями в данном контексте - это часть общей системы контроля качества продукции на предприятии. Ведь ошибки, допущенные на самой ранней стадии проектирования, являются самыми дорогостоящими. Какой вообще смысл делать продукт, который не отвечает требованиям заказчика и нормативным документам?

Учитывая всё вышесказанное, компания ИНТЕРМЕХ включила в комплект поставки IPS модуль управления требованиями. Данный модуль позволяет создать дерево требований, которым должно соответствовать проектируемое изделие, на основе технического задания, разработанного в MS Word (рис. 7). Администратор системы задает критерии, которым должны соответствовать объекты технических требований для перевода на шаг ЖЦ Выполнено (например, наличие подписей ответственных лиц). Система отслеживает выполнение всех пунктов технического задания и не дает перевести его на шаг Выполнено до тех пор, пока все требования не будут удовлетворены. Также имеется возможность на основе дерева требований сформировать проект IMProject для организации и планирования работ по исполнению технического задания.

Вместо эпилога

К сожалению, объем одной статьи не позволяет провести подробный анализ всех особенностей системы. Поэтому кратко перечислим, какой еще функционал отличает IPS от других отечественных PLM­систем:

  • подсистема поиска 3D­моделей по геометрическому подобию;
  • встроенный механизм форумов для организации обсуждения любого проекта, извещения или информационного объекта непосредственно в системе;
  • встроенная экспертная система для расчета значений атрибутов, проверки условий и генерации документов, ведомостей и отчетов произвольной сложности;
  • визуализатор связей для наглядного представления взаимосвязей между информационными объектами в виде ориентированного графа;
  • расширенные средства аннотирования документов, включая подсистему создания графических замечаний для документов произвольных форматов;
  • архивы для упорядоченного хранения документов и контроля прав доступа к ним;
  • механизм итераций, позволяющий в любой момент сохранить состояние (атрибуты, файлы и связи) выбранных объектов с возможностью возврата объектов в данное состояние;
  • встроенный органайзер для удобного доступа к задачам, письмам и различным оповещениям непосредственно на календаре;
  • системный планировщик для автоматического выполнения различных процедур, скриптов и задач по расписанию;
  • встроенные средства масштабирования защищенного хранилища файлов документов, а также средства миграции редко используемых данных на медленные носители информации;
  • поддержка СУБД ЛИНТЕР, включая ЛИНТЕР БАСТИОН, сертифицированный ФСТЭК России и Министерством обороны РФ;
  • автоматическое переподключение клиентов к серверу при потере и восстановлении связи;
  • средства автоматического развертывания и обновления клиентов на рабочих станциях.

Таким образом, IPS обладает рядом преимуществ, которые делают систему максимально удобной для использования на отечественных предприятиях и позволяют значительно сэкономить время и снизить затраты в процессе конструкторско­технологической подготовки производства.