בשנים האחרונות ניכרת בשוק מגמה של פיתוח ציפיות חדשות מתעשיית אבטחת המידע, ובמיוחד בתחום מערכות ה-IPS. אחת המגמות המאתגרות ביותר היא הדרישה לכך שהמוצרים המיועדים לאתר ניסיונות חדירה יהיו מסוגלים לא רק לזהות התקפות, אלא גם לחסום אותן בזמן אמיתי. דרישה זו מאלצת את המערכות לפתח באופן מוגבר את אי-התלות בגורם האנושי. פירושו של דבר הוא, שאותן פעולות שהיו בעבר נחלתו של מומחה האבטחה, כגון המשוב, צריכות להתבצע כיום באופן אוטומטי על-ידי המערכות עצמן. מערכות, המעניקות מענה לדרישות אלה של השוק, מכונות מערכות IPS (מערכות למניעת חדירה לרשתות המחשוב הארגוניות).
להלן שתי עובדות בסיסיות מהוות את התשתית לדרישה הגוברת בשוק למערכות IPS: בשנים האחרונות ניכרת מגמה ברורה של גידול בתחכום ובתכיפות של ההתקפות; במקביל לכך, גדל בתקופה זו מאוד מספרם של הארגונים שתעבורת אינטרנט תקינה היא עבורם תנאי בסיסי והכרחי לקיום פעילות עסקית רווחית.
הצירוף של גורמים אלה הניב דרישה לתגובות מהירות ביותר להתקפות המסכנות את הקישוריות לאינטרנט. מערכות IPS דרושות כדי להבטיח תגובה מדויקת ובזמן אמיתי להתקפות, ובכך להעניק מענה לדרישות השוק. בעקבות ניתוח הטכנולוגיות העונות באופן המיטבי לדרישות השוק עולה בבירור שהפיתוח של מערכות IPS מחייב שימוש בשיטות משוב על-מנת להבטיח כישורי גילוי ותגובה מיטביים . פעילויות בלתי מדויקות של גילוי ותגובה הן במקרה הטוב חסרות ערך ובמקרה הרע עלולות להזיק.
מערכות חוג-סגור
ככלל, מערכות המשתמשות במשוב מכונות מערכות בקרה בחוג סגור. המשוב משמש כבסיס להחלטות ביחס לשינויים הנדרשים על-מנת להשיג את המצב הרצוי של המערכת. החלטות בקרה מבוצעות על-ידי מערכות משובצות רבות, הפועלות בזמן אמיתי. בדרך-כלל, מקור המשוב הוא חיישנים המסוגלים למדוד פרמטרים כגון טמפרטורה, מרחק, מהירות, ניצול רוחב פס התקשורת או כל תכונה אחרת בהתאם לערך היעד שהמערכת צריכה לבקר.
בעקבות כל משוב שהמערכת מקבלת - שמייצג מבחינתה מידע נוסף - היא מבצעת אופטימיזציה של החלטותיה. לדוגמה, אם מן המשוב המתקבל עולה שמכוניתך נוסעת מהר מדי, מערכת בקרת נסיעת השיוט תיזום הפחתה רגעית של כמות הדלק המוזרם למנוע, עד שהמהירות תירד אל הערך הרצוי. מערכות משוב פועלות בהתאם לאסטרטגיה מוּנעת תקלות; התיקונים מבוצעים בהתאם להפרש בין המצב הנוכחי של המערכות לבין המצב הרצוי שלה.
IPS ומערכות משוב בחוג סגור
יישומה של שיטת משוב לצורך אופטימיזציה של החלטות במערכות IPS מביאה תועלת רבה. מכניזם המשוב מבוסס על כך שה-IPS מסוגלת לזהות פעילויות בעלות מאפייני התקפה בתקשורת האינטרנט, להכניס לפעולה מסננים שיגנו מפני התקפות אלה, להמשיך בניתוח תוצאות הפעולה (משוב) ולתקן ולשנות בהתאם את המסננים, עד לקבלת המסננים המדויקים והיעילים ביותר נגד הפעילות ההתקפית.
מתודולוגיית משוב נוספת במערכות IPS היא הפעלת תקופת חסימה דינמית. כאשר המערכת מזהה פעילות התקפית, היא מיישמת לגביה תקופת חסימה ראשונית קצרה ביותר. במהלך פרק זמן זה, ממשיכה המערכת לעקוב אחר המשתמש שנחסם על-מנת לאתר סממני עקביות בפעילויות החריגות שלו. אם המערכת מסיקה שהפעילות החריגה היא חד-פעמית, היא משחררת מיד את המשתמש. לעומת זאת, אם הפעילות החריגה היא עקבית, המערכת מגדילה באופן אוטומטי את משך החסימה.
פעולות המשוב בחוג סגור של מערכות ה-IPS צריכות להתבצע במהירות גבוהה מאוד, על-מנת למנוע את הסיכוי של חסימת תעבורה תקינה שלא לצורך.
פתרונות ה-IPS מציעים היום הגנה מפני התקפות ברשת האינטרנט באמצעות אינטגרציה יעילה של מנגנון זיהוי חתימות, ניתוחים סטטיסטיים, מנועי קורלציה מתקדמים, ושיטות בקרה בחוג סגור. התוצאה היא מניעה של החלטות שגויות וזיהויי שווא (המכונים בלשון המקצועית "POSITIVES FALSE").
