曾經(jīng)入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)被認(rèn)為是解決企業(yè)內(nèi)部檢測(cè)攻擊的最佳方案。 但近來(lái)IPS/IDS技術(shù)被認(rèn)為是過(guò)時(shí),無(wú)效和無(wú)用的。而事實(shí)上它介于這兩種極端觀點(diǎn)之間。IPS/IDS技術(shù)是全面攻擊和漏洞檢測(cè)系統(tǒng)的重要組成部分,它們與其他類型的企業(yè)安全控制協(xié)同工作。
與10或15年前相比,IDS/ IPS技術(shù)并沒有很大的改變,但也有重大的技術(shù)創(chuàng)新和改變,提高了檢測(cè)能力。本文將會(huì)帶給你IPS/IDS的最新技術(shù),新功能和其他顯著變化。
信譽(yù)服務(wù)
很多基于網(wǎng)絡(luò)和基于主機(jī)的IDS和IPS產(chǎn)品最近都增加了信譽(yù)服務(wù)。這些服務(wù)已經(jīng)在其他類型的安全控制中使用多年。信譽(yù)服務(wù)能收集域名,IP地址,應(yīng)用協(xié)議,物理位置和計(jì)算活動(dòng)的其他方面信息。然后,IPS/IDS系統(tǒng)利用這些信息來(lái)確定新的活動(dòng)是否是是惡意的。此信息對(duì)提高確定IPS/IDS警報(bào)的優(yōu)先級(jí)特別有價(jià)值。例如,IPS/IDS傳感器可以對(duì)各類不尋常的活動(dòng)發(fā)出警報(bào),但是這些IP地址之一的其他惡意操作歷史記錄可能會(huì)提升它的分析優(yōu)先級(jí),因?yàn)樗赡苁怯袗阂獾摹?/p>
無(wú)線IPS/IDS的改進(jìn)
無(wú)線IPS/IDS技術(shù)比其他形式的IPS/IDS技術(shù)都要先進(jìn)。隨著無(wú)線技術(shù)的發(fā)展,無(wú)線IPS/IDS技術(shù)正不斷擴(kuò)大自己的能力。例如,自從IEEE 802.11n傳輸標(biāo)準(zhǔn)確定后,大多數(shù)無(wú)線IPS/IDS技術(shù)已經(jīng)增加了對(duì)此標(biāo)準(zhǔn)的支持。
不管企業(yè)是否支持無(wú)線設(shè)備,企業(yè)使用無(wú)線IPS/IDS都是一個(gè)很好的選擇。如果企業(yè)支持無(wú)線,包括BYOD(自備設(shè)備),那么就更需要監(jiān)控來(lái)避免網(wǎng)絡(luò)配置錯(cuò)誤和攻擊。如果企業(yè)不準(zhǔn)許使用無(wú)線技術(shù),無(wú)線IPS/IDS仍然可以檢測(cè)出未經(jīng)授權(quán)的使用,甚至幫助企業(yè)自身找到哪里有無(wú)線。
企業(yè)應(yīng)該充分利用企業(yè)移動(dòng)設(shè)備管理(MDM)軟件所提供的與無(wú)線IPS/IDS一樣的性能。這樣的軟件越來(lái)越多地部署在企業(yè)內(nèi)部,用來(lái)幫助企業(yè)管理智能手機(jī),平板電腦和其他移動(dòng)設(shè)備。
SSL加密流量的在線檢測(cè)
隨著HTTPS和其它加密協(xié)議應(yīng)用的增加,網(wǎng)絡(luò)IPS/IDS傳感器普遍對(duì)檢測(cè)網(wǎng)絡(luò)流量已變得沒有多大作用。然而,最近一些網(wǎng)絡(luò)IPS/IDS產(chǎn)品增加了內(nèi)網(wǎng)部署和檢測(cè)SSL加密流量的能力。這些產(chǎn)品基本上就是充當(dāng)一個(gè)代理,它建立了兩個(gè)SSL的連接:一個(gè)從端點(diǎn)A連接到IPS/IDS傳感器,另外一個(gè)從IPS/IDS傳感器連接到端點(diǎn)B,從端點(diǎn)A到端點(diǎn)B就不是單一的SSL連接,而是通過(guò)傳感器加密。事實(shí)上,這種設(shè)備可以對(duì)一個(gè)加密的數(shù)據(jù)包進(jìn)行解密,檢測(cè),再加密,然后將其無(wú)顯著延遲的發(fā)送。而且它也在連接中插入一個(gè)代理,代理自身是安全和可靠的。企業(yè)可能更傾向于使用基于主機(jī)的IPS/IDS而不是基于網(wǎng)絡(luò)的IPS/IDS進(jìn)行SSL加密流量檢測(cè)。
虛擬環(huán)境中IPS/IDS的應(yīng)用
云計(jì)算的興起帶來(lái)了對(duì)云安全技術(shù)的特性需求。值得慶幸的是,hypervisor(虛擬機(jī)管理器)是監(jiān)控一個(gè)虛擬實(shí)例和不同虛擬實(shí)例間網(wǎng)絡(luò)行為的好地方,更知名的叫法師內(nèi)部檢測(cè)。一些hypervisor主動(dòng)提供自己的入侵檢測(cè)技術(shù),另外一些hypervisor可以把內(nèi)部檢測(cè)收集而來(lái)的信息傳遞到外部安全的控件,例如,標(biāo)準(zhǔn)的基于主機(jī)的IPS/IDS來(lái)檢測(cè)和發(fā)出警報(bào)。企業(yè)要確保當(dāng)一個(gè)虛擬實(shí)例從一個(gè)云服務(wù)器移到另一個(gè)時(shí),其安全策略(包括IPS/IDS配置)也一并被轉(zhuǎn)移。