引擎硬件化提升性能
如果没有性能问题的瓶颈,IPS技术不会姗姗来迟。在传统防火墙领域,厂商们其实也做了不少工作,把IDS、应用层安全技术等都集成进去了,但是只能作为功能宣传,不敢大张旗鼓推广,到用户那往往要把这些功能关闭。这都是让性能闹的。
现在的IPS厂商,还是那些功能,只是解决了性能问题,敢给用户用这些功能了,就把产品作为IPS开卖。别小看这一点改进,可是核心竞争力,解决性能问题的各个厂商方法不同,思路都一样,就是把最消耗资源的部分用硬件实现,把最具有灵活性的部分用软件实现,达到提高性能的目的。
部署很简单
串接式部署是IPS和IDS区别的主要特征。IPS产品的部署方式和IDS有所不同。
IDS产品在网络中是旁路式工作,IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备,IPS检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流阻截。由于是在线操作,因而能保证处理方法适当而且可预知。
与此相比,通常的IDS响应机制(如TCP重置)则大不相同。传统的IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理。必须在数据流中嵌入TCP包,以重置目标服务器中的会话。然而,整个攻击信息包有可能先于TCP重置信息包到达服务器,这时系统才做出响应已经来不及了。
重置防火墙规则也存在相同问题,处于被动工作状态的IDS能检测到恶意代码,并向防火墙发出请求阻截会话,但请求有可能到达太迟而无法防止攻击发生。
IPS是网关型设备,要发挥其最大的作用,最好串接在网络的出口处,比较简单的部署方案是串接在网关出口的防火墙和路由器之间,监控和保护网络。当然,在用户购买产品时,专业的安全工程师会根据用户的网络拓扑和需求做详细设计的。
用户之声
受访者:北京电力顺义供电公司信息中心主任 周维利
主动防御,是不是神话?
我对IPS技术和产品有些了解,认为它是一个不错的技术,能够在遇到病毒入侵和黑客攻击之前,帮助我们消除掉即将引发的破坏。但是,这种技术太神奇,让人感觉不太可信。
举个例子。以我的理解,IPS是可以防范一个还没出现过的新病毒,就好比灭火器可以预先灭掉没着起的火一样,这是否有些离奇?
还有,我认为IPS不可能一发现攻击,就马上调动防火墙拦截。从发现攻击到拦截攻击之间肯定有时间差,在这时间差中,极有可能给后来的攻击可乘之机。这样看来,具有主动防御能力的IPS不又形成了新的安全漏洞吗?
总的来说,IPS对用户保护企业安全很有帮助,如果能够规避一些弊端,像我这样的用户还是非常愿意使用它的。
我们公司的网络采取的安全防御措施很基础,就三样:防毒、防火墙和打补丁,一年来,我们没有遇到过什么安全威胁。我个人认为,与IPS相比,被动防御更可靠。
受访者:国电自动化研究院信息所 余勇博士
用IPS?再等一等
你问我IPS?好像国内用户用得不多,至少我没见身边的同仁们谁在用。那东西推出来时间不长呀。以我对它的了解,它在技术上存在一些问题,比如没有逃脱防火墙、IDS的弊端,仍有不低的误报漏报率。
以前用过IDS,那是好几年前的事儿。后来,我们就不用了。主要是因为它的误报漏报率太高,当然,我们自己应用得也不好。IDS是个高技术含量的产品,配置规则非常复杂,对我们用户的技术要求比较高,要用好它,有一定难度。
我们也比较担心IPS的使用难度,还担心它的处理性能。它是串连在关口的,如果优化不够,会对我们的业务造成负面影响。
与IDS相比,IPS的主动防御功能的确很好。个人觉得,IPS是个好产品,将来一定有很好的应用前途。现在,我们还不想用,再等等。待技术成熟后,我们会考虑使用IPS的。
切忌“仅”靠IPS
受访者:中国信息安全产品测评认证中心系统工程实验室副主任 彭勇
IPS的产生与用户的应用需求有很大关系。过去,使用IDS,可以达到检测非法入侵的目的,但是,入侵真的发生了,IDS却无力阻断它。于是IPS出现了,它弥补了IDS的不足,可以对入侵进行及时地拦截,有效消除攻击所带来的危害。
IPS拦截攻击的功能,对于无法加固的脆弱系统,起到举足轻重的保护作用。比如,在用户生产系统和大型数据库系统中,可能存在一些漏洞。由于补丁程序与系统冲突,容易引起系统瘫痪,所以用户不会轻易给系统打补丁。可是,不打补丁,系统势必处于安全威胁中。此时,运用IPS,可以阻挡可能的攻击,进而减少安全风险。
技术瓶颈难以逾越
IPS好是好,目前,却遇到了尚未逾越的技术瓶颈。
首先是安全性。它沿习了IDS技术优势之时,也继承了它的某些致命缺陷。IDS误报漏报率一直存在,至今仍未克服。IPS继承了这一弱势。比IDS更糟的是,IDS误报最多给用户带来频繁报警的骚扰,IPS误报将会把正常的访问请求阻挡,修改系统合理应用,破坏用户业务。
其次是应用效果。IPS技术与防病毒技术有相似之处。有效防范病毒,必须时时更新病毒特征库,这样才能识别和扼杀不断涌现的新病毒。IPS也一样,它同样要具备快速更新攻击特征库的能力。但IPS面临的问题比防病毒技术更为繁杂,需要归纳、分析的安全事件的种类和形态太多,特征不易收集(同时还要基于应用层进行防护),更新难度非常之大。
最后是性能消耗。传统的IDS是旁路监听网络,不会影响网络应用。现在的IPS是串联在网络中的,而且基于应用层检测。这意味着所有与系统应用相关的访问,都要经过IPS过滤。尽管诞生了有如NP(NetWork Processor,网络处理器)、ASIC(Applications Specific Integrated Circuit,供专门应用的集成电路)等高性能处理芯片,可以帮助改善处理性能,然而,联动的应用太多,还是会消耗部分性能,降低运行速度。
应用障碍不可抗拒
如果说IDS让用户还有所认知,IPS则让用户知之甚少,也就谈不上对IPS的重视了。
许多用过IDS的用户都没有认识到,使用IDS的最大价值是分析网络状况。我国的网管人员对安全知识和技术的掌握有限,对安全设备管理的能力不强,加之繁琐的网络管理工作,没有精力顾及安全的深度防御问题。
我接触过不少用户,发现很少有用户认真分析过防火墙日志,又很少有人通过这些分析制定出有效的反击策略。IDS独有的分析功能几乎没有被网管人员充分利用和挖掘,而白白葬送掉IDS的使用价值。在这些企业网中,IDS形同虚设。与IDS类似的IPS的应用遭遇,大家可想而知了。
一些应用水平高、安全意识强的用户自信有能力用好IPS,但他们怀疑IPS的性能问题,并担心IPS会影响关键业务。
可见,IPS的应用,无论是对于高级用户还是初级用户来说,都是任重而道远。
跳出产品考虑全局
IPS是一个产品,安全保护是整体工程,里面涉及方方面面的深度防御工作。绝对不是一两个安全产品就可以解决的。
近来,市场上关于UTM(Unified Threat Management)的呼声越来越高。UTM是什么,它是统一威胁管理,它把防毒、防火墙、IPS等多种安全功能集成在一起,并基于硬件芯片处理技术,提供了一种统一的安全管理手段。其最大的优势是能够统一处理安全事件。
我个人认为,UTM还是一个产品,只要是产品,它就逃脱不掉单纯的防御模式。企业网络所面临的安全威胁,从管理的角度看,必须充分考虑企业的需求,整体考虑安全防范问题。即使涉及IPS单项功能,也要结合整体安全策略,制定IPS的防范规则,预测它所面临的风险,设计发挥它的优势及与响应其他安全功能的措施。
因此,我建议用户从以下几个方面看待和使用IPS等安全产品及应用。
冷静看待产品。把网管人员遇到的现有的产品管理好,可以大大减少网络及产品的安全风险。问题是,有的用户连现有的产品都没管好,服务器系统经常忘记升级补丁程序,防火墙日志不看也不分析,这样,选择再多的安全设备,对安全防范也会无济于事。
整体考虑安全。建议用户从整个信息生命周期管理的视角去建设和管理安全系统。把重点放在统一监控、统一管理、统一时间响应等方面。一旦出现安全问题,采取什么措施,如何响应,都应该在事前有一个统筹的考虑。把安全防范贯彻到整个业务运行当中。
从需求出发。认真分析自身的需求,到底是不是急需使用IPS,采用IPS前要想清楚,是否牵扯网络结构的调整、网络系统的重新部署;之后,还要搞明白,怎样用好IPS,做到及时更新特征库,分析IPS反映的一些数据,防患于未然。一句话,要将检测、响应、审计统一在一起综合考虑。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]