Система предотвращения вторжений (IPS)
Что такое Система предотвращения вторжений (IPS)?
Система предотвращения вторжений (IPS)Inline-средство безопасности, которое обнаруживает вредоносный трафик и активно блокирует, разрывает или очищает его в реальном времени.
Система предотвращения вторжений (IPS) устанавливается inline в путь данных и использует те же методы детекции, что и IDS — сигнатуры, модели аномалий, анализ протоколов, репутацию, — но обладает правом отбрасывать пакеты, завершать сессии, помещать потоки в карантин или запускать автоматизированный отклик. Современные IPS обычно интегрированы в NGFW или поставляются как облачная инспекция в составе SASE. Поскольку ложные срабатывания способны вызывать сбои, правила сначала вводят в режиме обнаружения и лишь после настройки переводят в блокирование. Эффективность требует актуальных потоков threat intelligence, инспекции зашифрованного трафика там, где это уместно, расчёта пропускной способности, продуманной политики fail-open/fail-closed и интеграции с SIEM/SOAR.
● Примеры
- 01
IPS на базе Snort или Suricata отбрасывает пакеты, соответствующие сигнатуре эксплойта EternalBlue.
- 02
Модуль Threat Prevention в Palo Alto блокирует исходящий C2-маяк по категории URL.
● Частые вопросы
Что такое Система предотвращения вторжений (IPS)?
Inline-средство безопасности, которое обнаруживает вредоносный трафик и активно блокирует, разрывает или очищает его в реальном времени. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Система предотвращения вторжений (IPS)?
Inline-средство безопасности, которое обнаруживает вредоносный трафик и активно блокирует, разрывает или очищает его в реальном времени.
Как защититься от Система предотвращения вторжений (IPS)?
Защита от Система предотвращения вторжений (IPS) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Система предотвращения вторжений (IPS)?
Распространённые альтернативные названия: IPS.