IPS引導(dǎo)安全自動化

那 罡

在合理的范圍內(nèi)讓一切與攻擊監(jiān)測和策略執(zhí)行有關(guān)的事情自動化,這樣就能將寶貴的IT安全人員和預(yù)算用于其它項目。這一原則看似簡單清晰,但其實全面的安全自動化知易行難。

當(dāng)今,全球黑客的數(shù)量與黑客技術(shù)在不斷提升,復(fù)雜的掃描、滲透、協(xié)議模糊工具及技術(shù)也變得更加常見,造成安全威脅滋生的速度比以往任何時候都要快。

TippingPoint中國區(qū)業(yè)務(wù)總監(jiān)賈泉海說,最糟糕的是,現(xiàn)在黑客滲入網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫的驅(qū)動力很強,因為他們想要竊取信息,將其出售從而獲利,這就是現(xiàn)代化的銀行搶劫案。

防御替代監(jiān)測

面對不斷變化的各種威脅,怎樣善加利用寶貴的預(yù)算,提供最大化的業(yè)務(wù)保障?答案可以歸納為一條準(zhǔn)則:在合理的范圍內(nèi)讓一切與攻擊監(jiān)測和策略執(zhí)行有關(guān)的事情自動化,這樣就能將寶貴的IT安全人員和預(yù)算用于其他項目。這一原則看似簡單清晰,但其實全面的安全自動化知易行難。

針對讓人頭疼的安全威脅,Infonetics公司對用戶在部署和管理不同生產(chǎn)商提供的IPS解決方案方面的體驗進行了調(diào)查,共收集了169家在生產(chǎn)網(wǎng)絡(luò)中使用IPS解決方案的公司給出的答案,特別是如何采購、安裝和使用IPS解決方案。

在該項研究中,應(yīng)答者負責(zé)其所在公司IPS產(chǎn)品與服務(wù)的“管理或規(guī)劃”。每家被調(diào)查公司平均雇員數(shù)量為9418人,均為以下五家IPS廠商之一的客戶:思科、IBM ISS、McAfee、Sourcefire和TippingPoint 。

基于深度包檢測技術(shù)的IPS,其本質(zhì)是阻攔已知的攻擊類型和零日漏洞攻擊,而無需人為干涉,基本不會出現(xiàn)誤報或應(yīng)用流量延遲。但是為了實現(xiàn)這一目的,必須符合一套非常嚴(yán)密的產(chǎn)品要求。這正是為何大部分入侵技術(shù)和產(chǎn)品還停留在以帶外入侵監(jiān)測為中心的水平,而不是帶內(nèi)入侵防御。

IPS的好處顯而易見,正如2003年8月業(yè)內(nèi)一位重要分析師說的那樣:“入侵防御將會替代入侵監(jiān)測?！比欢?Infonetics的IPS用戶調(diào)查顯示,部分IPS廠商的30%~45%的用戶仍然沒有在線部署這些帶有大量能夠阻攔惡意流量的過濾器的產(chǎn)品。他們?nèi)匀粌H將這些產(chǎn)品作為帶外使用,用來監(jiān)測攻擊,而不是攔截攻擊。

帶外設(shè)備雖然可以檢測到網(wǎng)絡(luò)攻擊,但不能攔截攻擊。而帶內(nèi)設(shè)備提供實時深度檢測并在第二層到第七層阻斷攻擊數(shù)據(jù)包。Infonetics進行的IPS客戶調(diào)查顯示,不同的IPS供應(yīng)商提供的帶內(nèi)解決方案差別很大。

那么,為什么有些客戶不采用帶內(nèi)IPS部署?既然在主動地阻攔惡意攻擊方面好處這么多,為什么他們不愿意使用帶內(nèi)解決方案呢?Infonetics進行的IPS客戶調(diào)查結(jié)果顯示,使用帶外解決方案的主要原因包括:

?對可靠性/可用性的顧慮

?吞吐量下降

?流量延遲增加

?誤報或阻斷合法的應(yīng)用流量

對于任何主動式帶內(nèi)網(wǎng)絡(luò)安全設(shè)備而言,這些顧慮都是很正常的。如果帶內(nèi)設(shè)備發(fā)生故障,不能平滑而透明地將自己從網(wǎng)絡(luò)中排除,那么網(wǎng)絡(luò)可用性就會受到損害。如果帶內(nèi)設(shè)備未被設(shè)計成具備必要的性能從而能以與網(wǎng)絡(luò)相同的速度檢測并傳送流量的話,那么對吞吐量和延遲的影響將損害應(yīng)用性能。

此外,如果IPS系統(tǒng)警覺性過高,也將導(dǎo)致合法流量受阻。

精準(zhǔn)性很重要

對于帶內(nèi)入侵防御而言,另一項關(guān)鍵要求是能夠啟用大量的過濾器來阻斷攻擊,而不僅僅是檢測惡意流量。利用IPS過濾器攔截惡意流量而不阻斷合法應(yīng)用,要求過濾器具備極高的精準(zhǔn)性。

有時候,黑客會在軟件供應(yīng)商研發(fā)出軟件漏洞補丁之前就發(fā)現(xiàn)應(yīng)用程序漏洞,形成零日漏洞攻擊。為了應(yīng)對這種威脅,IPS廠商需要依靠御用的研究團隊,致力于堅持不斷的漏洞研究與分析,開發(fā)零日漏洞過濾器,在軟件補丁發(fā)布前就堵住漏洞。其中的一個關(guān)鍵問題是:過濾器開發(fā)及相關(guān)更新的及時性,從而保護新發(fā)現(xiàn)、新公布的軟件漏洞。

那么,如何比較IPS廠商零日漏洞覆蓋狀況?根據(jù)Infonetics的調(diào)查數(shù)據(jù),TippingPoint 的受訪用戶中半數(shù)回答他們得到了零日漏洞攻擊威脅保護,另有24%的調(diào)查者稱他們在漏洞公布當(dāng)天得到了保護。20%的Sourcefire用戶稱預(yù)先得到零日漏洞攻擊防護,而McAfee用戶比率為15%,思科10%,IBM ISS是8%。

Infonetics將IPS過濾器配置分為三個級別。

輕松的工作:能夠在過濾器庫中進行檢索,將過濾器應(yīng)用于各個網(wǎng)段,有效激活執(zhí)行,在預(yù)期的時間框架內(nèi)快捷、獨立地完成,不需供應(yīng)商的協(xié)助。

適度的工作:在過濾器庫檢索、網(wǎng)段應(yīng)用、策略執(zhí)行激活等方面遇到一些問題,花費了比預(yù)期更多的時間。

可觀的工作:需要來自供應(yīng)商的技術(shù)支持或銷售支持以完成過濾器庫檢索、網(wǎng)段應(yīng)用、策略執(zhí)行激活等。

據(jù)記者了解,TippingPoint依靠安全研究小組DVLabs,實現(xiàn)對零日漏洞攻擊的覆蓋和更新。DVLabs又以提供精準(zhǔn)性非常高的IPS漏洞過濾器而著稱,不會阻攔合法的應(yīng)用流量。