那 罡

在合理的范圍內讓一切與攻擊監(jiān)測和策略執(zhí)行有關的事情自動化,這樣就能將寶貴的IT安全人員和預算用于其它項目。這一原則看似簡單清晰,但其實全面的安全自動化知易行難。

當今,全球黑客的數量與黑客技術在不斷提升,復雜的掃描、滲透、協(xié)議模糊工具及技術也變得更加常見,造成安全威脅滋生的速度比以往任何時候都要快。

TippingPoint中國區(qū)業(yè)務總監(jiān)賈泉海說,最糟糕的是,現(xiàn)在黑客滲入網絡、應用程序、數據庫的驅動力很強,因為他們想要竊取信息,將其出售從而獲利,這就是現(xiàn)代化的銀行搶劫案。

防御替代監(jiān)測

面對不斷變化的各種威脅,怎樣善加利用寶貴的預算,提供最大化的業(yè)務保障?答案可以歸納為一條準則:在合理的范圍內讓一切與攻擊監(jiān)測和策略執(zhí)行有關的事情自動化,這樣就能將寶貴的IT安全人員和預算用于其他項目。這一原則看似簡單清晰,但其實全面的安全自動化知易行難。

針對讓人頭疼的安全威脅,Infonetics公司對用戶在部署和管理不同生產商提供的IPS解決方案方面的體驗進行了調查,共收集了169家在生產網絡中使用IPS解決方案的公司給出的答案,特別是如何采購、安裝和使用IPS解決方案。

在該項研究中,應答者負責其所在公司IPS產品與服務的“管理或規(guī)劃”。每家被調查公司平均雇員數量為9418人,均為以下五家IPS廠商之一的客戶:思科、IBM ISS、McAfee、Sourcefire和TippingPoint 。

基于深度包檢測技術的IPS,其本質是阻攔已知的攻擊類型和零日漏洞攻擊,而無需人為干涉,基本不會出現(xiàn)誤報或應用流量延遲。但是為了實現(xiàn)這一目的,必須符合一套非常嚴密的產品要求。這正是為何大部分入侵技術和產品還停留在以帶外入侵監(jiān)測為中心的水平,而不是帶內入侵防御。

IPS的好處顯而易見,正如2003年8月業(yè)內一位重要分析師說的那樣:“入侵防御將會替代入侵監(jiān)測?！比欢?Infonetics的IPS用戶調查顯示,部分IPS廠商的30%~45%的用戶仍然沒有在線部署這些帶有大量能夠阻攔惡意流量的過濾器的產品。他們仍然僅將這些產品作為帶外使用,用來監(jiān)測攻擊,而不是攔截攻擊。

帶外設備雖然可以檢測到網絡攻擊,但不能攔截攻擊。而帶內設備提供實時深度檢測并在第二層到第七層阻斷攻擊數據包。Infonetics進行的IPS客戶調查顯示,不同的IPS供應商提供的帶內解決方案差別很大。

那么,為什么有些客戶不采用帶內IPS部署?既然在主動地阻攔惡意攻擊方面好處這么多,為什么他們不愿意使用帶內解決方案呢?Infonetics進行的IPS客戶調查結果顯示,使用帶外解決方案的主要原因包括:

?對可靠性/可用性的顧慮

?吞吐量下降

?流量延遲增加

?誤報或阻斷合法的應用流量

對于任何主動式帶內網絡安全設備而言,這些顧慮都是很正常的。如果帶內設備發(fā)生故障,不能平滑而透明地將自己從網絡中排除,那么網絡可用性就會受到損害。如果帶內設備未被設計成具備必要的性能從而能以與網絡相同的速度檢測并傳送流量的話,那么對吞吐量和延遲的影響將損害應用性能。

此外,如果IPS系統(tǒng)警覺性過高,也將導致合法流量受阻。

精準性很重要

對于帶內入侵防御而言,另一項關鍵要求是能夠啟用大量的過濾器來阻斷攻擊,而不僅僅是檢測惡意流量。利用IPS過濾器攔截惡意流量而不阻斷合法應用,要求過濾器具備極高的精準性。

有時候,黑客會在軟件供應商研發(fā)出軟件漏洞補丁之前就發(fā)現(xiàn)應用程序漏洞,形成零日漏洞攻擊。為了應對這種威脅,IPS廠商需要依靠御用的研究團隊,致力于堅持不斷的漏洞研究與分析,開發(fā)零日漏洞過濾器,在軟件補丁發(fā)布前就堵住漏洞。其中的一個關鍵問題是:過濾器開發(fā)及相關更新的及時性,從而保護新發(fā)現(xiàn)、新公布的軟件漏洞。

那么,如何比較IPS廠商零日漏洞覆蓋狀況?根據Infonetics的調查數據,TippingPoint 的受訪用戶中半數回答他們得到了零日漏洞攻擊威脅保護,另有24%的調查者稱他們在漏洞公布當天得到了保護。20%的Sourcefire用戶稱預先得到零日漏洞攻擊防護,而McAfee用戶比率為15%,思科10%,IBM ISS是8%。

Infonetics將IPS過濾器配置分為三個級別。

輕松的工作:能夠在過濾器庫中進行檢索,將過濾器應用于各個網段,有效激活執(zhí)行,在預期的時間框架內快捷、獨立地完成,不需供應商的協(xié)助。

適度的工作:在過濾器庫檢索、網段應用、策略執(zhí)行激活等方面遇到一些問題,花費了比預期更多的時間。

可觀的工作:需要來自供應商的技術支持或銷售支持以完成過濾器庫檢索、網段應用、策略執(zhí)行激活等。

據記者了解,TippingPoint依靠安全研究小組DVLabs,實現(xiàn)對零日漏洞攻擊的覆蓋和更新。DVLabs又以提供精準性非常高的IPS漏洞過濾器而著稱,不會阻攔合法的應用流量。