Saldırı Tespiti ve Önleme (IPS)

Saldırı önleme sistemi (IPS) bir ağ ve/veya sistem üzerinde meydana gelen kötü amaçlı aktiviteleri ortaya çıkarmak ve engellemek için kullanılan bir araçtır. Saldırı önleme sistemleri kötü amaçlı aktiviteleri bulmak, aktivite hakkındaki bilgileri kaydetmek, raporlamak, gerçekleşmesini engellemek ve durdurmak için çalışır.

Saldırı önleme sistemleri (IPS) ağ ve sistem trafiğini izlemenin temel amacına hizmet eden saldırı tespit sistemlerinin (IDS) yeteneklerini genişletir. Saldırı önleme sistemlerini (IPS),  saldırı tespit sistemlerinden (IDS) daha gelişmiş yapan şey, IPS’nin hat üzerinde (doğrudan kaynak ve hedefin iletişim kurduğu yolda) bulunması ve meydana gelen kötü amaçlı aktiviteyi önleme veya engelleme özelliğine sahip olmasıdır.

IPS sistemleri genellikle bir güvenlik duvarının arkasında bulunur. IPS sistemleri kaynak ve hedef arasında bulunduğundan tüm ağ trafiği akışlarını otomatik olarak analiz eder ve aksiyon gerçekleştirebilir. Bu eylemler yöneticileri uyarmayı, tehlikeli paketleri atmayı, kötü amaçlı aktivitenin kaynak adreslerinden gelen trafiği durdurmayı ve bağlantıları yeniden başlatmayı içerebilir. Ağ performansının düşmesini önlemek için etkili bir saldırı önleme sisteminin verimliliği çok önemlidir. Buna ek olarak, IPS sistemleri,  kötü niyetli aktiviteleri gerçek zamanlı olarak yakalamada hızlı, saldırı olmadığı halde saldırıymış gibi (False Positive) göstermeme noktasında da doğru çalışmalıdır.

IPS sistemleri kötü niyetli etkinlikleri tespit etmek için etkin olarak imza ve anomali tabanlı algılama kullanır.  İmza tabanlı sistemlerde bilinen atakların imzalarını barındıran bir veritabanı kullanılır. Bu yüzden False Positive oranı düşük fakat 0-gün ataklarına karşı zayıftır.  Anomali tabanlı IPS sistemleri ise daha çok 0-gün ataklarına karşı etkilidir fakat False Positive oranı yüksektir.

Dört yaygın IPS türü vardır:

  • Ağ Tabanlı Saldırı Önleme Sistemi (NIPS)
  • Kablosuz Ağ Saldırı Önleme Sistemi (WIPS)
  • Ağ Davranış Analizi (NBA)
  • Sunucu Tabanlı Saldırı Önleme Sistemi (HIPS)

IPS sistemlerinin kapsamlı bir güvenlik çözümü değil bağımsız bir teknoloji olduğunu unutmamak gerekir. IPS sistemleri ağlardaki kötü amaçlı aktiviteleri tespit etmek için değerli bir teknoloji olsa da, etkili bir güvenlik için veri koruması, uç nokta güvenliği ve saldırıya cevap verme (Incident Response) gibi konular ayrıca kritiktir.