IPS 拦截攻击的功能,对于无法加固的脆弱系统,起到举足轻重的保护作用。比如,在用户生产系统和大型数据库系统中,可能存在一些漏洞。由于补丁程序与系统冲突,容易引起系统瘫痪,所以用户不会轻易给系统打补丁。可是,不打补丁,系统势必处于安全威胁中。此时,运用IPS,可以阻挡可能的攻击,进而减少安全风险。
技术瓶颈难以逾越
IPS好是好,目前,却遇到了尚未逾越的技术瓶颈。
首先是安全性。它沿习了IDS技术优势之时,也继承了它的某些致命缺陷。IDS误报漏报率一直存在,至今仍未克服。IPS继承了这一弱势。比IDS更糟的是,IDS误报最多给用户带来频繁报警的骚扰,IPS误报将会把正常的访问请求阻挡,修改系统合理应用,破坏用户业务。
其次是应用效果。IPS技术与防病毒技术有相似之处。有效防范病毒,必须时时更新病毒特征库,这样才能识别和扼杀不断涌现的新病毒。IPS也一样,它同样要具备快速更新攻击特征库的能力。但IPS面临的问题比防病毒技术更为繁杂,需要归纳、分析的安全事件的种类和形态太多,特征不易收集(同时还要基于应用层进行防护),更新难度非常之大。
最后是性能消耗。传统的IDS是旁路监听网络,不会影响网络应用。现在的IPS是串联在网络中的,而且基于应用层检测。这意味着所有与系统应用相关的访问,都要经过IPS过滤。尽管诞生了有如NP(NetWork Processor,网络处理器)、ASIC(Applications Specific Integrated Circuit,供专门应用的集成电路)等高性能处理芯片,可以帮助改善处理性能,然而,联动的应用太多,还是会消耗部分性能,降低运行速度。
应用障碍不可抗拒
如果说IDS让用户还有所认知,IPS则让用户知之甚少,也就谈不上对IPS的重视了。
许多用过IDS的用户都没有认识到,使用IDS的最大价值是分析网络状况。我国的网管人员对安全知识和技术的掌握有限,对安全设备管理的能力不强,加之繁琐的网络管理工作,没有精力顾及安全的深度防御问题。
我接触过不少用户,发现很少有用户认真分析过防火墙日志,又很少有人通过这些分析制定出有效的反击策略。IDS独有的分析功能几乎没有被网管人员充分利用和挖掘,而白白葬送掉IDS的使用价值。在这些企业网中,IDS形同虚设。与IDS类似的IPS的应用遭遇,大家可想而知了。
一些应用水平高、安全意识强的用户自信有能力用好IPS,但他们怀疑IPS的性能问题,并担心IPS会影响关键业务。
可见,IPS的应用,无论是对于高级用户还是初级用户来说,都是任重而道远。
跳出产品考虑全局
IPS是一个产品,安全保护是整体工程,里面涉及方方面面的深度防御工作。绝对不是一两个安全产品就可以解决的。
近来,市场上关于UTM(Unified Threat Management)的呼声越来越高。UTM是什么,它是统一威胁管理,它把防毒、防火墙、IPS等多种安全功能集成在一起,并基于硬件芯片处理技术,提供了一种统一的安全管理手段。其最大的优势是能够统一处理安全事件。
我个人认为,UTM还是一个产品,只要是产品,它就逃脱不掉单纯的防御模式。企业网络所面临的安全威胁,从管理的角度看,必须充分考虑企业的需求,整体考虑安全防范问题。即使涉及IPS单项功能,也要结合整体安全策略,制定IPS的防范规则,预测它所面临的风险,设计发挥它的优势及与响应其他安全功能的措施。
因此,我建议用户从以下几个方面看待和使用IPS等安全产品及应用。
冷静看待产品。把网管人员遇到的现有的产品管理好,可以大大减少网络及产品的安全风险。问题是,有的用户连现有的产品都没管好,服务器系统经常忘记升级补丁程序,防火墙日志不看也不分析,这样,选择再多的安全设备,对安全防范也会无济于事。
整体考虑安全。建议用户从整个信息生命周期管理的视角去建设和管理安全系统。把重点放在统一监控、统一管理、统一时间响应等方面。一旦出现安全问题,采取什么措施,如何响应,都应该在事前有一个统筹的考虑。把安全防范贯彻到整个业务运行当中。
从需求出发。认真分析自身的需求,到底是不是急需使用IPS,采用IPS前要想清楚,是否牵扯网络结构的调整、网络系统的重新部署;之后,还要搞明白,怎样用好IPS,做到及时更新特征库,分析IPS反映的一些数据,防患于未然。一句话,要将检测、响应、审计统一在一起综合考虑。
-- 原文链接: http://security.ccidnet.com/art/231/20060207/423465_1.html
共5页: 上一页 [1] [2] [3] [4] 5 下一页
|