8 800 555-92-97
Звонок бесплатный
8 800 555-92-97
Звонок бесплатный
+7 495 240-92-96
Техподдержка
Тестировать Личный кабинет

    Подписаться на рассылку
    База знаний

    IDS/IPS — Suricata: как защитить корпоративные сети от современных угроз

    18.09.2025

    Информационная безопасность всегда была одной из важнейших составляющих функционирования корпоративных и государственных организаций. Сложность и разнообразие кибератак требует использования эффективных и точных систем защиты. Одним из ключевых элементов защиты от вторжений является система IDS/IPS. В этой статье мы подробно рассмотрим набор правил Kaspersky Suricata Rules Feed, который позволяет обнаруживать и предотвращать кибератаки в реальном времени.

    Что такое IDS/IPS?

    IDS/IPS системы — это уникальные инструменты, созданные для защиты сетей от неавторизованного доступа. Они представляют собой аппаратные или компьютерные средства, которые способны оперативно обнаруживать и эффективно предотвращать вторжения. Среди мер, которые принимаются для достижения ключевых целей IDS/IPS, можно выделить информирование специалистов по информационной безопасности о фактах попыток хакерских атак и внедрения вредоносных программ, обрыв соединения со злоумышленниками и перенастройку сетевого экрана для блокирования доступа к корпоративным данным.

    Особенности систем обнаружения вторжений

    Все существующие сегодня системы обнаружения и предотвращения вторжений объединены несколькими общими свойствами, функциями и задачами, которые с их помощью решают специалисты по информационной безопасности. Такие инструменты по факту осуществляют беспрерывный анализ эксплуатации определенных ресурсов и выявляют любые признаки нетипичных событий.

    Организация безопасности корпоративных сетей может подчиняться нескольким технологиям, которые отличаются типами выявляемых инцидентов и методами, применяемыми для обнаружения таких событий. Помимо функций постоянного мониторинга и анализа происходящего, все IDS системы выполняют следующие функции:

    • сбор и запись информации;
    • оповещения администраторам администраторов сетей о произошедших изменениях (alert);
    • создание отчетов для суммирования логов.

    Технология IPS в свою очередь дополняет вышеописанную, так как способна не только определить угрозу и ее источник, но и осуществить их блокировку. Это говорит и о расширенном функционале подобного решения. Оно способно осуществлять следующие действия:

    • обрывать вредоносные сессии и предотвращать доступ к важнейшим ресурсам;
    • менять конфигурацию «подзащитной» среды;
    • производить действия над инструментами атаки (например, удалять зараженные файлы).

    Как происходит обнаружение вредоносных атак

    Технологии IPS используют методы, основанные на сигнатурах — шаблонах, с которыми связывают соответствующие инциденты. В качестве сигнатур могут выступать соединения, входящие электронные письма, логи операционной системы и т.п. Такой способ детекции крайне эффективен при работе с известными угрозами, но очень слаб при атаках, не имеющих сигнатур.

    Еще один метод обнаружения несанкционированного доступа, называемый HIPS, заключается в статистическом сравнении уровня активности происходящих событий с нормальным, значения которого были получены во время так называемого «обучающего периода». Средство обнаружения вторжений может дополнять сигнатурную фильтрацию и блокировать хакерские атаки, которые смогли ее обойти.

    Резюмируя функции и принципы работы IDS и IPS систем предотвращения вторжений, можно сказать, что они решают две крупные задачи:

    • анализ компонентов информационных сетей;
    • адекватное реагирование на результаты данного анализа.

    Детектор атак Suricata в ИКС

    Одним из решений IPS предотвращения вторжений являются детектор атак, который предназначен для своевременного выявления множества вредоносных угроз. В Интернет Контроль Сервере он реализован в виде системы Suricata — продвинутого, многозадачного и очень производительного инструмента, разработанного для превентивной защиты сетей, а также сбора и хранения информации о любых поступающих сигналах. Работа детектора атак основана на анализе сигнатур и эвристике, а удобство его обусловлено наличием открытого доступа к исходному коду. Такой подход позволяет настраивать параметры работы системы для решения индивидуальных задач.

    К редактируемым параметрам Suricata относятся правила, которым будет подчиняться анализ трафика, фильтры, ограничивающие вывод предупреждения администраторам, диапазоны адресов разных серверов, активные порты и сети.

    Таким образом, Suricata как IPS-решение — это довольно гибкий инструмент, функционирование которого подлежит изменениям в зависимости от характера атаки, что делает его максимально эффективным.

    При входе в модуль отображается его состояние, кнопка «Выключить» (или «Включить», если модуль выключен) и последние сообщения в журнале.

    Во вкладке настроек можно редактировать параметры работы детектора атак. Здесь можно указать внутренние, внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься. По умолчанию, анализируется трафик на внешних интерфейсах.

    Детектору атак можно подключать правила, с помощью которых он будет анализировать трафик. На данной вкладке можно посмотреть наличие и содержимое того или иного файла с правилами, а также включить или выключить его действие (с помощью флажков справа). В правом верхнем углу располагается поиск по названию или по количеству правил в файле.

    Правила Касперского для Suricata

    Дополнительно можно приобрести Suricata Rules Feed. Это набор правил для системы предотвращения вторжений (IDS/IPS) с целью надежной защиты пользователей от самых современных киберугроз. 

    В процессе разработки правил используются экспертные сервисы, в том числе автообработка вредоносных программ, песочницы, Botfarm и т. д.

    Категории угроз:

    • APT (таргетированные угрозы)
    • Программы-вымогатели
    • Botnet C&C (центры управления ботнетами)
    • Эксплоиты
    • Банковские трояны и средства похищения персональных данных
    • Хакерские инструменты
    • Крипто-майнеры
    • DNS-туннели 

    Характеристика продукта

    • Ежедневные обновления для обнаружения новейших угроз
    • Соответствие формату Suricata
    • Около 5 000 правил
    • Отказоустойчивая инфраструктура для минимизации ложных срабатываний

    Модуль Kaspersky Suricata Rules Feed, благодаря своей высокой производительности, точности и способности адаптироваться к новейшим угрозам, является важным инструментом в стратегии защиты корпоративной сети. 

    Тестирование 

    Вы можете бесплатно протестировать ИКС с системой обнаружения вторжений и дополнительным модулем Suricata Rules Feed в вашей корпоративной сети. Почему стоит это сделать?

    • Быстрая установка ИКС: до 15 минут
    • Приоритетная поддержка с первого дня тестирования
    • Сохранение настроек при переходе на полную версию

    Как протестировать?

    • Установите ИКС на сервер или виртуальную машину
    • Подключите ИКС к корпоративной сети и интернету
    • Выполните настройку
    • Начните тестирование

    Отправьте заявку, мы пришлем ссылки на дистрибутивы.

    Бесплатный звонок по РФ 8 800 555-92-97
    Техподдержка +7 495 240-92-96
    Email hello@a-real.ru
    Тестировать Личный кабинет
    Мы используем файлы cookie. Продолжая пользоваться сайтом, вы соглашаетесь с условиями обработки данных
    Подтверждаю