IPS引导安全自动化

在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其它项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。

当今,全球黑客的数量与黑客技术在不断提升,复杂的扫描、渗透、协议模糊工具及技术也变得更加常见,造成安全威胁滋生的速度比以往任何时候都要快。

TippingPoint中国区业务总监贾泉海说,最糟糕的是,现在黑客渗入网络、应用程序、数据库的驱动力很强,因为他们想要窃取信息,将其出售从而获利,这就是现代化的银行抢劫案。

防御替代监测

面对不断变化的各种威胁,怎样善加利用宝贵的预算,提供最大化的业务保障?答案可以归纳为一条准则:在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其他项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。

针对让人头疼的安全威胁,Infonetics公司对用户在部署和管理不同生产商提供的IPS解决方案方面的体验进行了调查,共收集了169家在生产网络中使用IPS解决方案的公司给出的答案,特别是如何采购、安装和使用IPS解决方案。

在该项研究中,应答者负责其所在公司IPS产品与服务的“管理或规划”。每家被调查公司平均雇员数量为9418人,均为以下五家IPS厂商之一的客户:思科、IBM ISS、McAfee、Sourcefire和TippingPoint 。

基于深度包检测技术的IPS,其本质是阻拦已知的攻击类型和零日漏洞攻击,而无需人为干涉,基本不会出现误报或应用流量延迟。但是为了实现这一目的,必须符合一套非常严密的产品要求。这正是为何大部分入侵技术和产品还停留在以带外入侵监测为中心的水平,而不是带内入侵防御。

IPS的好处显而易见,正如2003年8月业内一位重要分析师说的那样:“入侵防御将会替代入侵监测。”然而,Infonetics的IPS用户调查显示,部分IPS厂商的30%~45%的用户仍然没有在线部署这些带有大量能够阻拦恶意流量的过滤器的产品。他们仍然仅将这些产品作为带外使用,用来监测攻击,而不是拦截攻击。

带外设备虽然可以检测到网络攻击,但不能拦截攻击。而带内设备提供实时深度检测并在第二层到第七层阻断攻击数据包。Infonetics进行的IPS客户调查显示,不同的IPS供应商提供的带内解决方案差别很大。

那么,为什么有些客户不采用带内IPS部署?既然在主动地阻拦恶意攻击方面好处这么多,为什么他们不愿意使用带内解决方案呢?Infonetics进行的IPS客户调查结果显示,使用带外解决方案的主要原因包括:

•对可靠性/可用性的顾虑

•吞吐量下降

•流量延迟增加

•误报或阻断合法的应用流量

对于任何主动式带内网络安全设备而言,这些顾虑都是很正常的。如果带内设备发生故障,不能平滑而透明地将自己从网络中排除,那么网络可用性就会受到损害。如果带内设备未被设计成具备必要的性能从而能以与网络相同的速度检测并传送流量的话,那么对吞吐量和延迟的影响将损害应用性能。

此外,如果IPS系统警觉性过高,也将导致合法流量受阻。

精准性很重要

对于带内入侵防御而言,另一项关键要求是能够启用大量的过滤器来阻断攻击,而不仅仅是检测恶意流量。利用IPS过滤器拦截恶意流量而不阻断合法应用,要求过滤器具备极高的精准性。

有时候,黑客会在软件供应商研发出软件漏洞补丁之前就发现应用程序漏洞,形成零日漏洞攻击。为了应对这种威胁,IPS厂商需要依靠御用的研究团队,致力于坚持不断的漏洞研究与分析,开发零日漏洞过滤器,在软件补丁前就堵住漏洞。其中的一个关键问题是:过滤器开发及相关更新的及时性,从而保护新发现、新公布的软件漏洞。

那么,如何比较IPS厂商零日漏洞覆盖状况?根据Infonetics的调查数据,TippingPoint 的受访用户中半数回答他们得到了零日漏洞攻击威胁保护,另有24%的调查者称他们在漏洞公布当天得到了保护。20%的Sourcefire用户称预先得到零日漏洞攻击防护,而McAfee用户比率为15%,思科10%,IBM ISS是8%。

Infonetics将IPS过滤器配置分为三个级别。

轻松的工作:能够在过滤器库中进行检索,将过滤器应用于各个网段,有效激活执行,在预期的时间框架内快捷、独立地完成,不需供应商的协助。

适度的工作:在过滤器库检索、网段应用、策略执行激活等方面遇到一些问题,花费了比预期更多的时间。

可观的工作:需要来自供应商的技术支持或销售支持以完成过滤器库检索、网段应用、策略执行激活等。

据记者了解,TippingPoint依靠安全研究小组DVLabs,实现对零日漏洞攻击的覆盖和更新。DVLabs又以提供精准性非常高的IPS漏洞过滤器而著称,不会阻拦合法的应用流量。