入侵防禦系統雷聲大雨點小?(下)

神啊！讓IPS 更實用一點！
在IPS的發展上，有兩大趨勢。一、持續整合網路核心設備，二、強化更豐富的威脅管理技術。接下來的一、二年之內，我們預期會看到更多廠商加入這個戰局，包括：ISS、Symantec、Check Point與Juniper，以及一些後起之秀，如：Sourcefire 、Tenable Network Security，都會朝著這個趨勢發展，更巧妙地整合現有的網路架構，推出更新更好的產品。
現有的IPS產品難以融入大型的交換式網路架構，雖然主流廠商也開始在主要的交換器機種裡面加上IPS功能，卻礙於處理大量封包的需求、檢測所有流量的功能，而容易導致網路效能有一點低落。同時，推出新型IPS交換器之際，意味著要全面汰換舊設備，這麼高的預算需求，實在是令用戶吃不消。
綜觀成本、效能與管理需求，在未來五年內，我們恐怕很難看到in-line IPS在直接融入網路架構方面，有太多的表現。這並不是說in-line IPS不好用，而是太不適用於龐大的網路環境中。
針對防禦惡意攻擊而言，目前沒有一個完美的解決方案，能夠使用單一技術就解決這個問題。說的更實際一點，IPS必須朝著結合被動偵測、掃瞄功能產品，以更系統化的方式導入人工智慧推理引擎，方能具備適應各種網路架構，而修正其安全規則的功能。

IPS功能進化論
未來IPS必須具備各方面的能力，諸如以頻率為基礎、以內容過濾為基礎的分析模組、攻擊威脅的識別技術、弱點掃瞄、智慧型的病毒偵測與網路流量統計模組。IPS是一個新興市場，各家廠商無不竭力塑造其品牌口碑以及創造與競爭對手間的差異價值，以佔有一席之地。本文所提到「內容過濾 vs. 頻率分析」之爭，就有點類似1990年初，防火牆技術「代理式 vs. 封包過濾式（proxy vs. packet-filtering）」之間的爭論。隨著時間演進，IPS廠商就會瞭解，這兩種方法各有所長，而最佳的方案則是將雙劍合璧，從防火牆的演進史就可以得到驗證。
時間將會證明一切，未來的IPS將會結合上述各種威脅管理技術。提供安全管理人員一套實用的管理工具，使得IPS部署至網路的程序簡化許多。同時也可自行增加異常封包的特徵資料庫，在網路交換器、路由器中將增加以出現頻率為基礎的IPS模組，而以內容過濾為基礎的IPS則會搭配流量統計模組，用來作網路流量監控的工作。
雖然混合式IPS(Hybrid IPS)的功能變得更強韌，可有效延伸入侵防禦的系統功能，但主要關鍵還是在於系統效能的瓶頸上，包括處理封包的速度與瞬間容量，而非深入網路縱深防禦架構，對於已採用IPS產品的管理人員，這算是一個好消息！

慎選方案
安全管理者在評選提升網路防禦的方案時，必須更加小心謹慎，尤其是要導入整合型IPS方案，這是一個從單一防禦方案，到完全整合所有網路設施的聯防作為，必須請廠商協助詳加規劃執行、測試及驗證，對於本身企業網路環境的規模、互動性，是否可以順利正常運作，以增加對於此方案的信心。
理論上， Cisco已經可以將IPS模組加入其下的交換器與路由器之中，提供一個較完整的方案，足以消弭對於IPS的重重疑雲，且讓我們拭目以待。 根據以往的經驗，網路骨幹設備廠商在安全這一塊領域並沒有太傑出的表現，而未來Cisco、Juniper、HP以及Enterasys Networks等大廠，預計將IPS融入其骨幹設備中，不過其安全上的效力還是比不上專業廠商，如ISS、Symantec、Network Associates與Check Point令人安心。
換句話說，專業安全設備廠商沒有足夠的研發能量，將其產品線擴展到基礎骨幹設備中，在過去的經驗裡，通常是由較大的骨幹設備廠商，併購具資訊安全產品線的企業，像Avaya買下 VPNet科技，而形成更強勢的企業體。因此，有效綜合各家產品的特色，形成集團間互相競爭、合作，才能推出更具潛力、彈性、更實用的IPS方案。 可以預期到，未來完美的IPS解決方案，一部分會來自於網路弱點掃瞄產品，以及原IDS/IPS廠商所擅長的智慧型推論引擎，加上各家交換器、路由器廠商所提供的網管系統所組成。但是目前仍然沒有一套整合上述功能的共通標準，實際上還是有待努力。
就市場發展趨勢而言，通常小廠都會依附在市場主流的庇蔭下，舉例來說，之前IDS廠商就趨向於支援防火牆大廠的產品規格，例如：Cisco的 PIX系列、Juniper的NetScreen以及Check Point的FW-1，支援其防火牆的規則格式，話雖如此，其整合的程度還是由大廠決定，而沒有一定的業界標準。相對的，如果是像Sonic WALL 、WatchGuard Technologies或Secure Computing等產品，恐怕就沒有這麼多廠商支援其產品格式了！
另外一種整合各家廠商的方式，是透過相同的作業平台與系統程式來綁住廠商，使其具有共通的平台，而增加其互通性，換言之，如果我們目前是採用一些比較封閉的系統所開發的產品，或者是其架構缺乏彈性、使用不夠公開的規格，那可能就必須承擔一定的風險。
IPS 市場目前還在發展階段，預期還有一段成長、演進的空間，但老實說，IPS往往受限於網路基礎架構，In-line IPS只能截獲其所掌控的線路資訊，在大型網路中難以做到全面性的防禦。IPS的原始目的應該是要涵蓋整個網路構面，就目前實際的狀況來說，除非網路設備商能夠開出誘人的價格，讓用戶有意願、預算，以IPS功能的交換器、路由器汰舊換新，才能有更進一步的發展。


本文作者JOEL SNYDER (joel.snyder@opus1.com) 目前任職於Opus One 資訊顧問公司，為資訊安全測試聯盟的成員。