下一代入侵防御技术:集成系统

日期: 2009-04-01 作者:Martin Roesch翻译:陈志辉 来源:TechTarget中国 英文

本系列前几篇文章介绍了攻击的时间线的概念,提出下一代入侵防御系统需要在全部范围内考虑与主要阶段有关的技术和过程,主要阶段即攻击之前、攻击之时和攻击之后。   当然,已有证据表明,安全市场已认识到这种需要。起初只关注时间线的一段的各种各样的厂商已开始提供适用更多的子阶段甚至所有不同阶段的产品。还有一些厂商试图通过互补的伙伴关系达到类似的效果。

不管哪种情况,结果只是数据的松耦合或是不同部分的集成。真正的下一代入侵防御系统所需要是在领域和深度方面更充分的集成。理想情况下,一个阶段中的组件应为其他每个阶段中的组件提供有用信息。要实现这样的目标,实现系统集成最少要考虑以下几点: 攻击之前阶段进行评估的结……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

本系列前几篇文章介绍了攻击的时间线的概念,提出下一代入侵防御系统需要在全部范围内考虑与主要阶段有关的技术和过程,主要阶段即攻击之前、攻击之时和攻击之后。

  当然,已有证据表明,安全市场已认识到这种需要。起初只关注时间线的一段的各种各样的厂商已开始提供适用更多的子阶段甚至所有不同阶段的产品。还有一些厂商试图通过互补的伙伴关系达到类似的效果。不管哪种情况,结果只是数据的松耦合或是不同部分的集成。真正的下一代入侵防御系统所需要是在领域和深度方面更充分的集成。理想情况下,一个阶段中的组件应为其他每个阶段中的组件提供有用信息。要实现这样的目标,实现系统集成最少要考虑以下几点:

  • 攻击之前阶段进行评估的结果依赖于对系统进行检查的深度,最少可以建立敏锐地发现特定威胁能力,最多可以最终形成对已知弱点的描述。在任一种情况中,这些评估结果都用来自动地协调入侵检测和入侵阻止产品,产生更少的误报,更多的可靠响应动作,甚至更好的性能和功能(比如,对与正在保护的系统不相关的信息不进行检测可以达到这一点)。更进一步,这种协调可以是动态的,因而更加有益,但前提是这些评估是连续的,而不是建立在并不经常进行的快照基础上。
  • 类似地,正是这些评估得到的信息可以用于支持攻击之后阶段的工具。特别地,安全事件管理系统/安全信息管理系统(SEM/SIM)可以使用这些信息增强它们相关检测的准确性,以及判断所发现目标优先级的准确性。
  • 考虑这一流程的逆过程,不管部署了什么其他的安全机制,多种用于攻击之后阶段的产品,比如NBAD,SEM/SIM和评判工具,不可避免地会发现一定数目的隐藏着的攻击。将这些攻击信息反馈给入侵检测和防御工具有助于防止再次受到同样攻击。同时,发现这些成功的攻击可以指出先前没有关闭的漏洞,将这些信息反馈给用于攻击之前阶段的评估工具,可以使它们发现哪一个其他系统易受攻击并采取相应的措施。然而,这两种情况中的难题是适当的打包并表达反馈信息,以便于其他工具可以自动的使用它们。
  • 最后,还需要传统的访问控制工具的参与。这些工具不为其他组件提供任何信息,但当遇到时间线任何一端的工具发出的简要信息时,这些工具无疑会更加有效。

  显然,集成度达到上述要求非常重要,因为它形成了一个更为有效的解决方案--这一方案中整体功能大于各部分功能的简单和。在局部上,有效性的增强对已实现的额外的自动层有贡献。总之,非常明显,当今快速变化的蠕虫和病毒使得建立在单独的手工操作之上的防御不再有效,更不用提更为普通的情况,普通的情况中由于漏洞管理和威胁管理流程之间存在间隙,还会同时有决策时间和反应时间。

  但是,即使实现了自动化,自动化处理也要屈从于或是依赖于更多的重要的先决条件。具体地讲,建立一个环境,在成功部署下一代入侵防御技术的过程的意义是不可低估的。全面的及时的关于受到保护的特定环境的信息是重要组成部分,会从根本上提高系统的有效性。它提供了更好的侦测和确定相关事件的精度,同时通过减少误报便利于实现更好地自动化的处理。没有这样的环境,其他的加强措施仅仅能在交流信息的层而上使阻止系统更为有效。

  一个完整的想法必须要包括恰当的术语。以上介绍的下一代入侵防御系统可以简单的称为威胁防范系统或是威胁和漏洞管理系统。出于这种原因,任何描述这一领域特征的术语都可用来指代它。这些说法的区别归结为语法方面的区别,大部分是由于视角的不同。本质的特征是最主要的区别(比如,范围,内容和集成方式),这些方面应当成为致力于在信息安全领域取得更为有效成果的厂商关注的重点。

相关推荐

  • 如何利用基于云的沙箱来分析恶意软件?

    为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块……

  • 网络入侵防御系统全解

    现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。

  • 绿盟科技四款产品入围电信集采

    在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。

  • 戴尔SonicWALL SuperMassive E10800再次入围NSS实验室“推荐”评级

    戴尔运行SonicOS 6.0软件和集成式入侵防御服务的下一代防火墙SonicWALL SuperMassive E10800再度赢得美国NSS实验室2013入侵防御系统安全值图的“推荐”评级。