Что такое ids ips. Обнаружение атаки по аномальному поведению. Современное развитие IPS

Системы предотвращения вторжений (IPS-системы).
Защита компьютера от несанкционированного доступа.

Системы предотвращения вторжений – активные средства информационной защиты, которые не только обнаруживают, но и защищают от вторжений и нарушений безопасности. Для таких систем традиционно используется аббревиатура IPS (от англ. Intrusion Prevention System – система предотвращения вторжений). IPS-системы являются улучшенной версией систем обнаружения вторжений , в которых реализуется функционал автоматической защиты от киберугроз. Системы предотвращения вторжений способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать подозрительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на хранилища данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.

Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.

Если говорить о преимуществах систем предотвращения вторжений типа HIPS, то главным, несомненно, является исключительно высокий уровень защиты. Эксперты по информационной безопасности сходятся во мнении, что системы HIPS способны дать практически 100% защиту от любого, даже новейшего, вредоносного ПО, а также любых попыток несанкционированного доступа к конфиденциальной информации. Это защита, которая превосходно выполняет свою главную функцию – защищать. Ни одно традиционное средство информационной безопасности не способно похвастать таким уровнем защиты.

Инструменты и методики HIPS лежат в основе средств информационной безопасности компании SafenSoft. В наших продуктах сочетаются все преимущества систем предотвращения вторжений и традиционных средств защиты. Проактивная защита SoftControl предотвращает любые попытки несанкционированного доступа к данным и программной среде домашних ПК (продукты SysWatch Personal и SysWatch Deluxe), рабочих станций корпоративных сетей (комплекс Enterprise Suite), банкоматов и платёжных терминалов (TPSecure и TPSecure Teller). Наша запатентованная технология контроля приложений V.I.P.O.® объединяет в себе 3 уровня защиты: контролирует все исполняемые приложения, использует динамическую песочницу для запуска подозрительных процессов и управляет доступом приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам. Решения SoftControl способны работать параллельно с антивирусными пакетами, обеспечивая полную защиту программной среды компьютера. При работе в локальной сети, продукты SoftControl имеют удобное централизованное управление и систему оповещения администратора об угрозах. В отличие от традиционных средств защиты, решения SoftControl не требуют постоянных обновлений баз данных сигнатур.

В настоящее время существует бесчисленное количество разнообразных вредоносных программ. Эксперты в области антивирусного ПО прекрасно понимают, что решения, основанные только на базах данных сигнатур вирусов не могут быть эффективны против некоторых видов угроз. Многие вирусы умеют адаптироваться, изменять размер, имена файлов, процессов и служб.

Если нельзя обнаружить потенциальную опасность файла по внешним признакам, можно определить его вредоносную природу по поведению. Именно поведенческим анализом занимается система предотвращения вторжений Host Intrusion Prevention System (HIPS).

HIPS является специализированным программным обеспечением, которое наблюдает за файлами, процессами и службами в поисках подозрительной активности. Другими словами, проактивная защита HIPS служит для блокировки вредоносных программ по критерию опасного выполнения кода. Применение технологии позволяет поддерживать оптимальную безопасность системы без необходимости обновления баз.

HIPS и фаерволы (брандмауэры) являются тесно связанными компонентами. Если брандмауэр управляет входящим и исходящим трафиком, основываясь на наборах правил, то HIPS управляет запуском и работой процессов на основании выполняемых изменений в компьютере согласно правилам контроля.

Модули HIPS защищают компьютер от известных и неизвестных видов угроз. При выполнении подозрительных действий вредоносной программой или злоумышленником, HIPS блокирует данную активность, уведомляет пользователя и предлагает дальнейшие варианты решения. На какие именно изменения обращает внимание HIPS?

Приведем приблизительный список действий, за которыми в первую очередь пристально наблюдает HIPS:

Управление другими установленными программами. Например, отправление электронных сообщений с помощью стандартного почтового клиента или запуск определенных страниц в браузере по умолчанию;

Попытка внести изменения в определенные записи системного реестра, чтобы программа запускалась при определенных событиях;

Завершение других программ. Например, отключение антивирусного сканера;

Установка устройств и драйверов, которые запускаются перед другими программами;

Межпроцессорный доступ к памяти, который позволяет внедрять вредоносный код в доверительную программу

Что ожидать от успешной HIPS?

HIPS должна иметь достаточные полномочия для прекращения активности вредоносной программы. Если для остановки работы опасной программы требуется подтверждение пользователя, эффективность системы мала. Система предотвращения вторжений должна иметь определенный набор правил, который может применить пользователь. Должны быть доступны операции создания новых правил (хотя должны быть и определенные исключения). Пользователь, работая с HIPS должен четко понимать последствия своих изменений. В противном случае, возможен конфликты программного обеспечения и системы. Дополнительную информацию о работе системы предотвращения вторжения можно узнать на специализированных форумах или в файле справке антивируса.

Обычно технология HIPS работает при запуске процесса. Она прерывает действия во время их выполнения. Однако встречаются HIPS-продукты с предварительным обнаружением, когда потенциальная опасность исполняемого файла определяется еще до его непосредственного запуска.

Существуют ли риски?

Рисками, связанными с HIPS являются ложные срабатывания и неверные пользовательский решения. Система отвечает за определенные изменения, выполняемые другими программами. Например, HIPS всегда отслеживает путь системного реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run , отвечающий за автозагрузку программ при старте системы.

Очевидно, что множество безопасных программ использует данную запись реестра для автоматического запуска. Когда будут выполняться изменения в данном ключе, HIPS опросит пользователя о дальнейшем действии: разрешить или запретить изменения. Очень часто пользователи просто нажимают разрешить, не вникая в информацию, особенно если они в этот момент устанавливают новое ПО.

Некоторые HIPS информируют об аналогичных решениях других пользователей, однако при небольшом их количестве они нерелевантны и могут вводить пользователя в заблуждение. Остается надеяться, что большинство пользователей сделали правильный выбор до Вас. Система прекрасно работает при определении потенциальной опасности и выводе тревожного сообщения. Далее, даже если HIPS корректно определила угрозу, пользователь может выполнить неправильное действие и тем самым инфицировать ПК.

Заключение: HIPS является важным элементом многоуровневой защиты. Рекомендуется также использовать совместно с системой другие модули защиты. Для оптимальной и эффективной работы HIPS пользователь должен обладать определенными знаниями и квалификацией.

По материалам блога Malwarebytes Unpacked

Нашли опечатку? Выделите и нажмите Ctrl + Enter

В этой статье вы узнаете некоторые как широко, так и малоизвестные характеристики систем предотвращения атак.

Что такое система предотвращения атак

Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). IDS изначально лишь детектировали угрозы прослушивая трафик в сети и на хостах, а затем посылали администратору оповещения различными способами. IPS сейчас блокируют атаки сразу в момент их обнаружения, хотя могут и работать в режиме IDS - только оповещая о проблемах.

Иногда функционал IPS понимают как совместное функционирование в одном устройстве и IDS и firewall. Это часто вызвано тем, что некоторые IPS имеют встроенные правила блокирования пакетов по адресу источника и получателя. Однако, это не firewall. В firewall блокирование трафика полностью зависит от вашего умения настраивать правила, а в IPS от умения программистов производителя писать безошибочные алгоритмы поиска атак в идущем по сети трафике. Есть еще одна «похожесть»: технология firewall, известная как statefull inspection, очень похожа на одну из технологий, используемых в IPS для идентификации принадлежности разных соединений одному сетевому протоколу, и тут она называется port following. Различий гораздо больше, например, Firewall не умеет обнаруживать туннелирование одного протокола в другой, а IPS умеет.

Другое отличие теории построения IPS и firewall заключается в том, что при выходе устройства из строя IPS должен ПРОПУСКАТЬ трафик насквозь, а firewall должен БЛОКИРОВАТЬ трафик. Для работы в соответствующем режиме в IPS встраивают так называемый модуль обхода. Благодаря ему, даже если вы случайно выключите питание IPS, то трафик будет идти свободно через устройство. Иногда IPS тоже настраивают блокировать трафик при выходе из строя - но это частные случаи, чаще всего используемые, когда два устроства используются в режиме High Avalability.
IPS это значительно более сложное устройство чем firewall. IPS используют для угроз, с которыми последний не справился. IPS заключает в себе концентрированные знания огромного числа специалистов по безопасности, которые выявили, нашли закономерности и затем запрограммировали код, выявляющий проблемы, в виде правил анализа контента идущего по сети.

IPS в корпоративных сетях являются частью многоэшелонированной защиты, поскольку интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. В итоге, для каждой атаки сейчас есть возможности не только идентифицировать ее, а затем оповестить администратора или заблокировать, но и провести полный анализ инцидента: собрать пакеты идущие от атакующего, инициировать расследование, произвести устранение уязвимости путем модификации пакета.

В сочетании с правильной системой управления безопасностью появляется возможность контролировать действия самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. Что, в общем, внесло осязаемый смысл в работу таких систем. Какой смысл говорить о проблемах в сети, если на эти проблемы никто не реагирует и не несет ответственности за это? Всем известна эта вечная проблема: тот кто несет убытки от нарушения работы компьютерной системы и тот кто защищает эту систему - разные люди. Если не рассматривать крайний случай, например, домашнего компьютера подключенного к Интернет.

Задержки трафика

С одной стороны хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее самим устройством. Но с другой стороны системы предотвращения атак приходится ставить не на SPAN порт свитча, а пропускать весь сетевой трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети. А в случае с VoIP это критично, хотя, если вы собираетесь защищаться от атак на VoIP, то другого способа защититься от таких атак нет.

Таким образом, одной из характеристик, по которой вам необходимо оценивать систему предотвращения атак при покупке являются величина задержек в сети, которые неизбежно вносят такие системы. Как правило, эту информацию можно взять у самого производителя, но можно почитать исследования независимых тестовых лабораторий, например NSS. Доверять производителю одно, а проверить самому - другое.

Количество ложных срабатываний

Второй характеристикой на которую нужно смотреть: количество ложных срабатываний. Так же как мы раздражаемся от спама, точно такое же впечатление производят ложные срабатывания на администраторов безопасности. В конце концов администраторы, чтобы защитить свою психику, просто перестают реагировать на все сообщения системы и ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить эту систему более менее адекватно именно к угрозам в вашей сети нужно потратить уйму времени.

В некоторых системах обнаружения и предотвращения атак встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например от сканера безопасности. Например, если сканер безопасности увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со сто процентной уверенностью сказать что атака червя Slammer (которая нацелена на MS SQL) на данный сервер не пройдет. Таким образом такие системы корреляции помечают часть атак как неудавшиеся, что сильно облегчает работу администратора.

Современность защитных технологий

Третьей характеристикой являются методы обнаружения (и заодно блокирования) атак и возможность их тюнинга под требования своей сети. Изначально существует два разных подхода: сигнатурные IPS ищут атаки, основываясь на найденных ранее эксплойтах, а IPS с анализом протоколов ищут атаки на базе знаний о найденных ранее уязвимостях. Если написать новый эксплойт для той же уязвимости, то IPS первого класса не обнаружат и не блокируют его, а второго класса и обнаружат и заблокируют. IPS второго класса гораздо эффективнее, поскольку блокируют целые классы атак. В итоге, у одного производителя нужно 100 сигнатур для обнаружения всех разновидностей одной и той же атаки, у другого достаточно одного правила, анализирующего уязвимость протокола или формата данных, которыми все эти разновидности атак пользуются. Недавно появился термин превентивная защита. В него включаются и возможность защиты от атак, которые еще неизвестны и защита от атак, которые уже известны, но производитель еще не выпустил патча. Вообще слово «превентивная» очередной американизм. Есть более русский термин: «своевременная» - та защита, которая срабатывает до того как нас взломали или заразили, а не после. Такие технологии уже есть и их надо использовать. Спросите у производителя при покупке: какие технологии превентивной защиты у них использованы и вы все поймете.

К сожалению, еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому вам для полноценной защиты придется установить в сети как минимум два устройства. Одно устройство будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов. Другое будет использовать методы статистические и аналитические по анализу аномалий в поведении сетевых потоков. Сигнатурные методы еще используются во многих системах обнаружения и предотвращения атак, но к сожалению они не оправдывают себя. Они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Сигнатурные антивирусы не справляются сейчас с новыми вирусами по той же причине - реактивность защиты. Поэтому, самыми передовыми методами анализа атак сейчас является полный анализ протокола. Идея этого метода в том, что анализируется не конкретная атака, а в самом протоколе ищется признак использования уязвимости атакующим. Например, система может отследить был ли перед началом TCP пакета с атакой трехпакетный обмен по установлению TCP соединения (пакеты с флагами SYN, SYN+ACK, ACK). Если перед проведением атаки нужно установление соединения, то система по анализу протоколов проверит были ли оно и если пойдет пакет с атакой без установления соединения, то она обнаружит, что такая атака неуспешна, поскольку соединения не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по другому. Они анализируют сетевой трафик (например, около недели) и запоминают какие сетевые потоки идут обычно. Как только возникает трафик, который не соответствует запомненному поведению - ясно, что в сети что-то происходит новое: например, распространение нового червя. Кроме того, такие системы связаны с центром обновлений и раз в час или чаще получают новые правила поведения червей и и другие обновления, например, списки фишинговых сайтов, что позволяет им их сразу блокировать, или списки хостов управления бот сетями, что сразу позволяет детектировать заражение какого-то хоста, как только он пытается соедиться с центром управления бот сетью и т.д.

Даже появление нового хоста в сети - для поведенческой системы важное событие: надо узнать что за хост, что на нем установлено, есть ли на нем уязвимости, а может новый хост сам будет атакующим. Для провайдеров такие поведенческие системы важны тем, что они позволяют отслеживать изменения в «грузопотоке», ведь провайдеру важно обеспечить скорость и надежность доставки пакетов, а если вдруг с утра оказалось, что весь трафик идет по одному каналу и не умещается в нем, а остальные несколько каналов в Интернет через других провайдеров незадействованы, то это значит, что где-то сбились настройки и надо заняться балансировкой и перераспределением нагрузки.
Для хозяина небольшой сети важно, что внутри не завелись атакующие, чтобы сеть не записали в черный список спамеров, чтобы атакующие не забили весь канал в Интернет мусором. А ведь за Интернет канал и трафик надо платить провайдеру деньги. Каждый директор фирмы хотел бы вовремя обнаруживать и останавливать трату денег на трафик бесполезный для бизнеса.

Анализируемые протоколы и форматы данных

Если мы говорим о технических специалистах, которые принимают решение о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно вас интересует что-то конкретное: например анализ атак в javascript, или отражение попыток sql injection, или DDoS атак, или у вас вообще SCADA (система контроля и управления датчиками) и нужно анализировать протоколы вашей специализированной системы, или вам критично защищать протоколы VoIP, в которых уже имеются уязвимости при реализации в силу их сложности.
Кроме того, не все знают, что события IPS бывают не только типа «атака», бывают еще типы «аудит» и «статус». Например, IPS может ловить подключения и все сообщения ICQ. Если у вас в политике безопасности запрещена ICQ - её использование - атака. Если нет - значит вы просто можете отслеживать все подключения и кто с кем общается. Или просто отключить эту сигнатуру, если считаете это нетичным.

Специалисты

Возникает вопрос: где же брать таких специалистов, которые разбираются что нужно купить, и которые потом будут знать как реагировать на каждое сообщение системы предотвращения атак и даже смогут ее настраивать. Понятно, что можно пойти на курсы по обучению управлением такой системы, но на самом деле человек должен сначала разбираться в сетевых протоколах, потом в сетевых атаках, а потом в методах реагирования. А такие курсы отсутствуют. Тут нужен опыт. Есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений поступающих с консолей систем безопасности. В них работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернет и они обеспечивают эффективную защиту, а вы в свою очередь избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии имеющихся средств защиты начиная от VPN и заканчивая антивирусами. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А нанять специалиста обычно можно только на работу с понедельника по пятницу с 9 до 18, и то он иногда болеет, учится, ходит на конференции, ездит в командировки и, бывает, что неожиданно увольняется.

Поддержка продукта

Важно подчеркнуть такой момент в IPS как поддержка своих продуктов производителем. К сожалению обновления алгоритмов, сигнатур и правил до сих пор необходимы, поскольку технологии и злоумышленники не стоят на месте и нужно постоянно закрывать новые классы уязвимостей в новых технологиях. Каждый год находят несколько тысяч уязвимостей. Наверняка, ваши программные и аппаратные средства содержат несколько из них. Как вы узнавали про уязвимости в них и как потом защищались? А ведь нужен постоянный контроль за актуальностью защиты. Поэтому важным компонентом является постоянная поддержка защитных средств, которым вы доверили безопасность своей компании: наличие профессиональной команды, которая постоянно отслеживает новые уязвимости и своевременно пишет новые проверки, которая сама ищет уязвимости, чтобы быть впереди злоумышленников. Так что когда покупаете такую сложную систему как IPS посмотрите на то, какую поддержку предлагает производитель. Нелишне узнать насколько хорошо и вовремя он справился с атаками, которые уже были в прошлом.

Защита от методов обхода IPS

На сам IPS очень сложно напасть, поскольку он не имеет IP адреса. (Управление IPS осуществляется через отдельный порт управления.) Однако, существуют методы обхода IPS, позволяющие его «обмануть» и провести атаку на защищаемые ими сети. В популярной литературе эти методы подробно описаны. Например, тестовая лаборатория NSS активно использует методы обхода для проверки IPS. Производителям IPS сложно противодействовать этим методам. И то, как производитель справляется с методами обхода и является еще одной интересной характеристикой системы предотвращения атак.

Важность использования IPS в корпоративных сетях назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак уже разработаны, так что остается только их грамотно установить и эксплуатировать. В статье специально не были названы имена производителей, чтобы сделать обзор свойств IPS максимально непредвзятым.

на сайте компании Бюро ESG и в журнале «САПР и графика». И.Фертман – председатель совета директоров Бюро ESG,
А.Тучков – технический директор Бюро ESG, к.т.н.,
А.Рындин – заместитель коммерческого директора Бюро ESG.

В своих статьях сотрудники Бюро ESG неоднократно освещали тему информационного обеспечения различных стадий жизненного цикла изделий. Время вносит свои коррективы, вызванные постоянным развитием информационных технологий и необходимостью модернизации внедренных решений. С другой стороны, сейчас явно прослеживается тенденция к использованию программного инструментария, отвечающего требованиям отечественной нормативной базы и принятым у нас в стране производственным процессам. Именно эти реалии, а также накопленный опыт автоматизации деятельности проектных предприятий побудили нас написать эту статью.

Современное состояние автоматизации конструкторской деятельности, производства и информационной поддержки последующих стадий ЖЦ изделий

Компания Бюро ESG имеет большой опыт проведения работ по внедрению систем электронного архива, PDM, PLM, систем управления инженерными данными в самых разных отраслях: судостроении (ОАО «Балтийский завод» - Рособоронэкспорт, ОАО «Севмаш», ЗАО «ЦНИИ Судового машиностроения»), машиностроении (ОАО СПб «Красный Октябрь»), промышленном и гражданском строительстве (ПФ «Союзпроектверфь», ОАО «Гипроспецгаз»), атомной отрасли (ОАО «Атомпроект», ОАО «Росжелдорпроект») и на многих других предприятиях и организациях, перечисление которых не входит в цели и задачи статьи.

Подчеркнем, что внедрения проводились на базе использования различных программных систем: TDMS, Search, SmartPlant Fondation, Autodesk Vault и других, в том числе собственной разработки. Использование той или иной программной среды обусловлено отраслью, стоящими задачами и прочими факторами. Именно обширный опыт, накопленный Бюро ESG по перечисленным направлениям, позволяет нам обрисовать общую картину внедрения систем электронных архивов, систем документооборота PDM и PLM на российских предприятиях.

Современную конструкторскую, производственную деятельность, поддержку эксплуатации, модернизации и утилизации изделий невозможно представить без использования различного рода автоматизированных систем: CAD (САПР), CAM, PDM, систем технологической подготовки производства, PLM-систем. Общую картину иллюстрирует рис. 1.

Рис. 1. Общая картина автоматизации

Как правило, все перечисленные и не перечисленные средства автоматизации присутствуют лишь в некоторой степени, чаще на начальных стадиях ЖЦ изделий - конструкторской деятельности и производстве. На последующих же стадиях ЖЦ степень информационной поддержки процессов иногда крайне низка. Приведем лишь некоторые характерные для наиболее автоматизированных стадий ЖЦ примеры, иллюстрирующие реальную картину.

Заявления о «внедрении PDM или PLM-технологий» на практике часто оказываются лишь внедрением системы электронного архива и документооборота КД и ТД, TDM, и не более. Причины:

• «игра слов» - это когда для создания функционала электронногоархива и документооборота КД и ТД использована дорогостоящая PDM-система (что часто трактуется как «внедрение PDM-технологии», хотя такого нет, налицо лишь внедрение электронного архива и/или TDMс использованием ПО - PDM-системы);
• подмена понятий - когда в названии программного средства присутствует аббревиатура «PDM» или «PLM», но система по роду решаемых задач не является таковой и, опять же, в лучшем случае решает две задачи, но чаще одну из двух:
• управление работой конструкторов на уровне документов, а иногда и 3D-моделей,
• управление электронным архивом КД и ТД.

Приведем пример: опыт компании Бюро ESG, включающий работы по созданию макета информационной модели военного корабля, показал, что на стадии ЖЦ эксплуатации наиболее важна, увы, не информация проектанта и строителя, а эксплуатационная документация, интерактивные электронные технические руководства (ИЭТР). Крайне необходима на стадии ЖЦ эксплуатации логистическая поддержка, позволяющая в кратчайшие сроки пополнить ЗИП. Очень часто ни одна система, позиционируемая производителем как PLM, не решает «по умолчанию» задач эксплуатации, хотя, не будем отрицать, такая система вполне может быть использована при соответствующих доработках, например, и для решения вопросов логистики. Заметим, что по эффективности и затраченной на доработку трудоемкости такой подход эквивалентен использованию бухгалтерской или ERP-системы для управления конструкторской деятельностью или текстового редактора для разработки конструкторских чертежей.

Стараясь быть объективными в оценках, не будем дальше сгущать краски, а всего лишь заметим:

• современная автоматизация конструкторской деятельности, производства, поддержки последующих стадий ЖЦ изделий часто включает лишь элементы PDM и PLM;
• часто внедрения PDM и PLM- не более чем создание электронного архива и документооборота КД и ТД;
• говорить о полном внедрении технологии PLM для всех стадий жизненного цикла изделия преждевременно.

Причины перехода на новую платформу

Несмотря на выводы предыдущего раздела статьи, отметим, что очень часто на предприятии, где внедрен электронный архив, конструкторский документооборот, автоматизированная система технологической подготовки производства, элементы PDM/PLM, работа без внедренных средств уже не представляется возможной. Это -основной показатель внедрения. В работе нашей компании был случай, когда при сбоях, произошедших в ЛВС Заказчика не по нашей вине, стал недоступен сервер электронного архива одного машиностроительного предприятия. Время от первого сбоя до первого звонка с предприятия в наш офис специалистам по техподдержке составило менее минуты. При этом все эмоциональные заявления объединяло одно -«без доступа к БД предприятие не может работать». На наш взгляд, это наиболее весомый практический показатель, превзошедший все теоретические выкладки.

Причины перехода к новым технологиям и платформам, а также расширению внедренного функционала можно отнести к нескольким группам.

Развитие технологий и средств проектирования

Один из важных факторов перехода к новым технологиям, программным решениям и расширению внедренного функционала системы конструкторского документооборота, автоматизированной системы технологической подготовки производства, элементам PDM/PLM на стадиях работы конструкторов и производства - появление средств трехмерного проектирования и законодательной базы, определяющей работу с электронными моделями.

Как уже говорилось, в большинстве случаев «внедрения PDM и PLM» речь идет о TDM, электронном архиве и документообороте КД и ТД. Такие решения (независимо от среды, в которой они строились) на практике, как правило, работают с двумерными КД и ТД. Исторически на большинстве предприятий, где реализованы подобные внедрения, в новые системы часто «перекочевали» принципы и подходы работы с двумерной конструкторской и технологической документацией с некоторыми «модернизациями» для электронных двумерных документов. Например, согласно ГОСТ 2.501-2006 изменения в электронные документы вносятся в новую версию. ГОСТ 2.503-90, описывающий внесение изменений «на бумаге», допускает вносить изменения непосредственно в чертеж (зачеркиванием, подчисткой (смывкой), закрашиванием белым цветом, введением новых данных)или создавать новые документы, их листы с заменой исходных, по сути -создавать версии. Пример иллюстрирует, что «модернизации» не так уж существенны, а порядок работы с двумерным электронным документом практически повторяет работу «с бумагой».

Да и сами средства электронного архива и документооборота КД и ТД, успешно внедренные в свое время, очень часто просто не поддерживают подходы к работе с 3D-моделью, а внедренная ранее информационная система, как правило, устарела и не содержит современных механизмов интеграции, позволяющих провести эффективную доработку.

Интеграция и оптимизация производственных процессов

Следующий фактор - интеграция и оптимизация производственных процессов. Очень часто наши заказчики испытывают законное желание максимально автоматизировать всю производственную цепочку. Например, вполне логично, что для написания техпроцессов технологу полезно иметь доступ к результатам работы конструктора. Несомненно, хотелось бы иметь некую единую интегрированную среду, причем, совсем не важно, как построена такая среда - в рамках одной или нескольких систем. Главное - сквозная передача данных между участниками производственных процессов, использование и поддержка актуальной информации.

Создание интегрированных территориально разнесенных сред

Очень часто внедренные ранее системы не содержат необходимого функционала, а встроенные средства его расширения не позволяют добиться желаемого -расширить функционал или организовать необходимое интеграционное взаимодействие с другими системами. Часто КБ и производства территориально разнесены. Иногда же существующие средства не отвечают современным представлениям об эффективной автоматизации. Например, для обмена информацией между системами в судостроении применяются файлы обмена (транспортные массивы). Нередко средством организации интеграционного взаимодействия являются только COM– технология. При этом современные системы позволяют эффективно организовать территориально распределенные БД, работу с инженерными данными, обмен ими между удаленными КБ, КБ и производством.

Экономические причины

Несомненно, в любых условиях экономическая составляющая перехода к использованию новых платформ не нова, но сегодня имеет две основные составляющие:

• вложения в новую платформу должны принести экономический эффект;
• заказчики выражают желание снизить вложения и не зависеть в ряде отраслей от зарубежных производителей.

Система IPS

По ряду причин мы не будем останавливаться на известных западных средствах автоматизации. В этом разделе мы постараемся перечислить решения: системы электронного конструкторского архива, документооборота, PDM, PLM, реально адаптированные к отечественным процессам, действующей нормативной базе РФ для КБ и производства, с одной стороны, и учитывающие современное состояние и наличие систем автоматизации проектирования, СУБД, сетевого оборудования и взаимодействия, с другой стороны. С приведенной оговоркой, выбор, увы, не так велик -возможно, кто-либо аргументированно возразит (за что мы заранее благодарны), но на отечественном рынке просматриваются всего лишь три решения:

• система IPS производства компании «Интермех»;
• система ЛОЦМАН:PLM производства компании «Аскон»;
• система T¬Flex производства компании «Топ Системы».

Целью статьи является отнюдь не формализованное сравнение этих трех систем по принципу «наличия или отсутствия» той или иной функции. Наш опыт показывает, что в большинстве случаев подобный подход весьма субъективен и некорректен. В связи с этим мы сегодня ограничимся описанием лишь одной системы IPS.

Общий функционал

Система представляет собой модульное решение, автоматизирующее конструкторские и производственные задачи -групповую работу конструкторов, конструкторский документооборот, реализацию системы электронного архива, ведение технологической подготовки производства, организацию интеграционного взаимодействия с прочими системами Предприятия.

Общая структура системы IPS приведена на рис. 2.

Рис. 2. Общая структура IPS

Гетерогенность среды IPS

Не секрет, что подавляющее большинство подобных средств является разработками производителей CAD-систем. При этом каждый производитель изначально решал маркетинговую задачу привлечения заказчиков в работе с набором «своих» программных продуктов. К слову, такая концепция присуща программным решениям не только в области автоматизации конструкторской деятельности и производства и не только в нашей стране, а выражает общемировую тенденцию. Некоторое время назад подобный подход претерпел изменения, и сегодня, как правило, любой производитель PDM/PLM-системы утвердительно ответит на вопрос о наличии программного взаимодействия с «неродными» для него CAD-системами.

Систему IPS стоит отметить не как изначально созданную от «какой-нибудь родной» для нее CAD-системы. Концепцию IPS можно охарактеризовать жаргонизмом «всеядность», наиболее точно характеризующим ее отношения к средствам проектирования, используемым в КБ. При этом в реализации IPS отражена сложившаяся тенденция наличия на предприятиях множества CAD-систем. При этом отметим, что иногда такое «изобилие средств проектирования» в ряде случаев -лишь «эхо эпохи спонтанной автоматизации», а в ряде случаев - результат экономически обоснованной политики, обусловленной, в свою очередь, сложностью и спектром проектируемых изделий. IPS одинаково успешно работает со следующими CAD-системами:

• AutoCAD;
• Autodesk Inventor;
• BricsCAD;
• Catia;
• Pro/ENGINEER/PTC Creo Parametric;
• Solid Edge;
• SolidWorks;
• КОМПАС-3D;
• КОМПАС-График.

А кроме того - с системами проектирования печатных плат электронных изделий (ECAD): Mentor Graphics и Altium Designer.

Возможности настройки функционала

Платформа IPS позволяет гибко настраивать функционал. При настройках могут быть использованы встроенные средства (без программирования). Для реализации же уникального функционала могут применяться внешние среды программирования для написания программ-плагинов.

Важным аспектом автоматизации проектирования, производственной деятельности, внедрения электронного архива, PDM/PLM-технологий на современном предприятии является то, что начинать приходится отнюдь не «с чистого листа». Кроме того, как правило, уже в той или иной степени организовано хранение информации в электронном виде (электронный архив), нередки успешные внедрения конструкторского документооборота, элементов PDM и PLM. В более «продвинутых» случаях существует единое информационное пространство, организовано межсистемное взаимодействие. При этом, с одной стороны, внедренные и успешно эксплуатируемые средства требуют модернизации, связанной с переходом на новые технологии (например, при внедрении трехмерных CAD-систем). С другой стороны, ранее накопленные БД, технические и организационные подходы должны и могут быть применены при внедрении новых технологий. Например, БД «двумерной» документации на ранее произведенные изделия вовсе не теряет своей актуальности при переходе к использованию 3D-CAD-систем (изделия эксплуатируются, модернизируются, производятся вновь независимо от того, как они спроектированы -«на плоскости» или «на бумаге»).

Организация территориально распределенной работы

Добавим, что система IPS позволяет реализовывать территориально разнесенные решения как в рамках одной стадии ЖЦ изделия, например при проектировании одним или несколькими КБ, так и в рамках различных стадий. При этом возможны, например, проектирование изделия одним или несколькими КБ и удаленный доступ технологов одного или нескольких разнесенных производств к результатам работы конструкторов, автоматизация технологической подготовки производства с использованием соответствующих модулей IPS. Механизм публикаций документов и моделей позволяет удаленному от КБ предприятию вносить аннотации, инициализировать проведение изменений, работая в единой территориально распределенной среде.

Общая структура организации распределенной работы IPS приведена на рис. 3.

Рис. 3. Организация территориально распределенной работы IPS

Пример перехода КБ к использованию IPS

Приведем реальный пример перевода с ранее внедренной системы электронного архива, документооборота с элементами PDM и PLM в одном из крупных КБ. Основные причины проведения работ:

• переход конструкторских подразделений к трехмерному проектированию;
• отсутствие технической возможности поддержки работы с 3D-CAD-системами у существующей системы электронного архива и документооборота КД с элементами PDM и PLM;
• устаревшая архитектура существующей системы и невозможность ее дальнейшего масштабирования;
• требования к территориально разнесенному взаимодействию КБ с другими КБ и производством.

Результаты работ:

• проработка вопросов миграции данных из существующей системы в IPS;
• проработка вопросов миграции процессов из существующей системы в IPS;
• программное решение - подсистема интерфейсного взаимодействия между существующей системой и IPSдля обеспечения интеграционного взаимодействия систем, позволяющая осуществить «плавный переход»;
• сформулирована организационная составляющая перехода к использованию новой системы с учетом оптимизации временных и ресурсных затрат.

Первый этап - разработка технологии и программно-технических решений - проводился на ранее спроектированном, «пилотном» изделии.

В настоящее время, согласно графику работ, специалисты нашей компании выполняют следующий этап работ, основанный на полученных ранее результатах: сопровождение проектирования двух реальных изделий 3D-CAD-систем и системы IPS.

Заключение

• Часто этапы автоматизации КБ и предприятий, позиционируемые как реальные внедрения PDM/PLM-технологий, представляют собой создание электронных архивов, систем документооборота КД и ТД, TDM (чаще для двумерных документов). В большинстве случаев можно говорить лишь о реальном внедрении элементов PDM и PLM;
• с переходом к трехмерному проектированию ранее внедренные системы электронного архива и документооборота КД и ТД, внедренные элементы PDM и PLMдалеко не всегда отвечают новым требованиям;
• перевод на новые платформы систем электронного архива и документооборота КД и ТД, элементов PDM и PLM-непростая, но вполне решаемая задача, требующая разработанного компанией Бюро ESG системного подхода, лишь частично освещенного в статье.

Список литературы

1. Турецкий О., Тучков А., Чиковская И., Рындин А. Новая разработка компании InterCAD -система хранения документов и 3D-моделей// REM. 2014. № 1.
2. Тучков А., Рындин А. О путях создания систем управления инженерными данными// REM. 2014. № 1.
3. Казанцева И., Рындин А., Резник Б. Информационно-нормативное обеспечение полного жизненного цикла корабля. Опыт Бюро ESG// Korabel.ru. 2013. № 3 (21).
4. Тучков А., Рындин А. Системы управления проектными данными в области промышленного и гражданского строительства: наш опыт и понимание// САПР и графика. 2013. № 2.
5. Галкина О., Кораго Н., Тучков А., Рындин А. Система электронного архива Д’АР - первый шаг к построению системы управления проектными данными// САПР и графика. 2013. № 9.
6. Рындин А., Турецкий О., Тучков А., Чиковская И. Создание хранилища 3D-моделей и документов при работе с трехмерными САПР// САПР и графика. 2013. № 10.
7. Рындин А., Галкина О., Благодырь А., Кораго Н. Автоматизация потоков документации -важный шаг к созданию единого информационного пространства предприятия // REM. 2012. № 4.
8. Петров В. Опыт создания единого информационного пространства на СПб ОАО «Красный Октябрь» // САПР и графика. 2012. № 11.
9. Малашкин Ю., Шатских Т., Юхов А., Галкина О., Караго Н., Рындин А., Фертман И. Опыт разработки системы электронного документооборота в ОАО «Гипроспецгаз»// САПР и графика. 2011. № 12.
10. Санёв В., Суслов Д., Смирнов С. Использование информационных технологий в ЗАО «ЦНИИ судового машиностроения// CADmaster. 2010. № 3.
11. Воробьев А., Данилова Л., Игнатов Б., Рындин А., Тучков А., Уткин А., Фертман И., Щеглов Д. Сценарий и механизмы создания единого информационного пространства// CADmaster. 2010. № 5.
12. Данилова Л., Щеглов Д. Методология создания единого информационного пространства ракетно-космической отрасли// REM. 2010. № 6.
13. Галкина О.М., Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Электронная информационная модель изделий судостроения на различных стадиях жизненного цикла// CADmaster. 2007. № 37a.
14. Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Технологии обеспечения жизненного цикла изделий // Компьютер-ИНФОРМ. 2005. № 11.
15. Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Ступени внедрения ИПИ-технологий// Судостроение. 2005. № 4.

В идеальном мире, в Вашу сеть заходят только те кто нужно - коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Но как только Вы приходите к решению что хотите открыть доступ к Вашей внутренней сети в режиме 24/7 Вам следует понимать что пользоваться этой «дверью» будут не только «хорошие парни». Обычно в ответ не такое утверждение можно услышать что-то типа «ну это не про нас, у нас маленькая компания», «да кому мы нужны», «что у нас ломать то, нечего».

И это не совсем верно. Даже если представить компанию, в которой на компьютерах нет ничего, кроме свежеустановленной ОС - это ресурсы. Ресурсы которые могут работать. И не только на Вас.

Поэтому даже в этом случае эти машины могут стать целью атакущих, например, для создания ботнета, майнинга биткоинов, крэкинга хэшей…

Еще существует вариант использования машин Вашей сети для проксирования запросов атакущих. Таким образом, их нелегальная деятельность ввяжет Вас в цепочку следования пакетов и как минимум добавит головной боли компании в случае разбирательств.

И тут возникает вопрос: а как отличить легальные действия от нелегальных?

Собственно, на этот вопрос и должна отвечать система обнаружения вторжений. С помощью нее Вы можете детектировать большинство well-known атак на свою сеть, и успеть остановить атакующих до того как они доберутся до чего-либо важного.

Обычно, на этом моменте рассуждений возникает мысль что то, что описано выше может выполнять обычный firewall. И это правильно, но не во всем.

Разница между функциями firewall и IDS на первый взгляд может быть не видна. Но IDS обычно умеет понимать контент пакетов, заголовки и содержание, флаги и опции, а не только порты и IP адреса. То есть IDS понимает контекст чего обычно не умеет firewall. Исходя из того, можно сказать что IDS выполняет функции Firewall, но более интеллектуально. Для обычного Firewall нетипична ситуация когда нужно, например, разрешать соединения на порт 22 (ssh), но блокировать только некоторые пакеты, в которых содержатся определенные сигнатуры.

Современные Firewall могут быть дополнены различными плагинами, которые могут делать похожие вещи, связанные с deep-inspection пакетов. Часто такие плагины предлагают сами вендоры IDS чтобы усилить связку Firewall — IDS.

В качестве абстракции, Вы можете представить себе IDS в качестве системы сигнализации Вашего дома или офиса. IDS будет мониторить периметр и даст Вам знать когда произойдет что-то непредусмотренное. Но при этом IDS никак не будет препятствовать проникновению.

И эта особенность приводит к тому что в чистом виде IDS, скорее всего, не то что Вы хотите от Вашей системы безопасности (скорее всего, Вы не захотите такую систему для охраны Вашего дома или офиса - в ней нет никаких замков).

Поэтому сейчас почти любая IDS это комбинация IDS и IPS (Intrusion Prevention System - Система предотвращения вторжений).

Далее, необходимо четко понимать чем отличаются IDS и VS (Vulnerability Scanner - Сканер уязвимостей). А отличаются они по принципу действия. Сканеры уязвомостей - это превентивная мера. Вы можете просканировать все свои ресурсы. Если сканер что-нибудь найдет, можно это исправить.

Но, после того момента как Вы провели сканирование и до следующего сканирования в инфраструктуре могут произойти изменения, и Ваше сканирование теряет смысл, так как больше не отражает реальное положение дел. Измениться могут такие вещи как конфигурации, настройки отдельных сервисов, новые пользователи, права существующих пользователей, добавиться новые ресурсы и сервисы в сети.

Отличие же IDS в том что они проводят детектирование в реальном времени, с текущей конфигурацией.

Важно понимать, что IDS, по факту, не знает ничего об уязвимостях в сервисах в сети. Ей это не нужно. Она детектирует атаки по своим правилам - по факту появления сигнатур в трафике в сети. Таким образом, если IDS будет содержать, например, сигнатуры для атак на Apache WebServer, а у Вас его нигде нету - IDS все равно детектирует пакеты с такими сигнатурами (возможно, кто-то пытается направить эксплоит от апача на nginx по незнанию, либо это делает автоматизированный toolkit).

Конечно же, такая атака на несуществующий сервис ни к чему не приведет, но с IDS Вы будете в курсе что такая активность имеет место.

Хорошим решением является объединение периодических сканирований уязвимостей и включенной IDS/IPS.

Методы детектирования вторжений. Программные и аппаратные решения.

Сегодня много вендоров предлагают свои решения IDS/IPS. И все они реализуют свои продукты по разному.

Разные подходы обусловлены разными подходами к категоризации событий безопасности, атак и вторжений.

Первое, что надо учитывать - это масштаб: будет ли IDS/IPS работать только с трафиков конкретного хоста, или же она будет исследовать трафик целой сети.

Второе, это то как изначально позиционируется продукт: это может программное решение, а может быть аппаратное.

Давайте посмотрим на, так называемые, Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS является, как раз, примером программной реализации продукта и устанавливается на одну машину. Таким образом, система такого типа «видит» только информацию, доступную данной машине и, соответственно, детектирует атаки только затрагивающие эту машину. Преимущество систем такого типа в том, что будучи на машине, они видят всю ее внутреннюю структуру и могут контролировать и проверять намного больше объектов. Не только внешний трафик.

Такие системы обычно следят за лог-файлами, пытаются выявить аномалии в потоках событий, хранят контрольные суммы критичных файлов конфигураций и периодически сравнивают не изменил ли кто-то эти файлы.

А теперь давайте сравним такие системы с network-based системами (NIDS) о которых мы говорили в самом начале.

Для работы NIDS необходим, по сути, только сетевой интерфейс, с которого NIDS сможет получать трафик.

Далее все что делает NIDS - это сравнивает трафик с заранее заданными паттернами (сигнатурами) атак, и как только что-то попадает под сигнатуру атаки, Вы получаете уведомление о попытке вторжения. NIDS также способны детектировать DoS и некоторые другие типы атак, которые HIDS просто не может видеть.

Можно подойти к сравнению и с другой стороны:

Если Вы выбираете IDS/IPS реализованную как программное решение, то получаете контроль над тем на какое «железо» Вы будете ее устанавливать. И, в случае, если «железо» уже есть, Вы можете сэкономить.

Также в программной реализации существуют и бесплатные варианты IDS/IPS. Конечно, надо понимать, что используя бесплатные системы Вы не получаете такого же саппорта, скорости обновлений и решения проблем, как с платными вариантами. Но это хороший вариант для начала. В ними Вы можете понять что Вам действительно нужно от таких систем, увидите чего не хватает, что ненужно, выявите проблемы, и будете знать что спросить у вендоров платных систем в самом начале.

Если же Вы выбираете hardware решение, то получаете коробку, уже практически готовую к использованию. Плюсы от такой реализации очевидны — «железо» выбирает вендор, и он должен гарантировать что на этом железе его решение работает с заявленными характеристиками(не тормозит, не виснет). Обычно внутри находится некая разновидность Linux дистрибутива с уже установленным ПО. Такие дистрибутивы обычно сильно урезаны чтобы обеспечивать быструю скорость работы, оставляются только необходимые пакеты и утилиты (заодно решается проблема размера комплекта на диске - чем меньше тем меньше нужен HDD - тем меньше себестоимость - тем больше прибыль!).

Программные же решения часто очень требовательны к вычислительными ресурсам.

Отчасти из-за того в «коробке» работает только IDS/IPS, а на серверах с программными IDS/IPS обычно запущено всегда очень много дополнительных вещей.