歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
入侵防禦系統雷聲大雨點小?(下)
2004 / 09 / 05
文 JOEL SNYDER/翻譯 路克
神啊!讓IPS 更實用一點!
在IPS的發展上,有兩大趨勢。一、持續整合網路核心設備,二、強化更豐富的威脅管理技術。接下來的一、二年之內,我們預期會看到更多廠商加入這個戰局,包括:ISS、Symantec、Check Point與Juniper,以及一些後起之秀,如:Sourcefire 、Tenable Network Security,都會朝著這個趨勢發展,更巧妙地整合現有的網路架構,推出更新更好的產品。
現有的IPS產品難以融入大型的交換式網路架構,雖然主流廠商也開始在主要的交換器機種裡面加上IPS功能,卻礙於處理大量封包的需求、檢測所有流量的功能,而容易導致網路效能有一點低落。同時,推出新型IPS交換器之際,意味著要全面汰換舊設備,這麼高的預算需求,實在是令用戶吃不消。
綜觀成本、效能與管理需求,在未來五年內,我們恐怕很難看到in-line IPS在直接融入網路架構方面,有太多的表現。這並不是說in-line IPS不好用,而是太不適用於龐大的網路環境中。
針對防禦惡意攻擊而言,目前沒有一個完美的解決方案,能夠使用單一技術就解決這個問題。說的更實際一點,IPS必須朝著結合被動偵測、掃瞄功能產品,以更系統化的方式導入人工智慧推理引擎,方能具備適應各種網路架構,而修正其安全規則的功能。
IPS功能進化論
未來IPS必須具備各方面的能力,諸如以頻率為基礎、以內容過濾為基礎的分析模組、攻擊威脅的識別技術、弱點掃瞄、智慧型的病毒偵測與網路流量統計模組。IPS是一個新興市場,各家廠商無不竭力塑造其品牌口碑以及創造與競爭對手間的差異價值,以佔有一席之地。本文所提到「內容過濾 vs. 頻率分析」之爭,就有點類似1990年初,防火牆技術「代理式 vs. 封包過濾式(proxy vs. packet-filtering)」之間的爭論。隨著時間演進,IPS廠商就會瞭解,這兩種方法各有所長,而最佳的方案則是將雙劍合璧,從防火牆的演進史就可以得到驗證。
時間將會證明一切,未來的IPS將會結合上述各種威脅管理技術。提供安全管理人員一套實用的管理工具,使得IPS部署至網路的程序簡化許多。同時也可自行增加異常封包的特徵資料庫,在網路交換器、路由器中將增加以出現頻率為基礎的IPS模組,而以內容過濾為基礎的IPS則會搭配流量統計模組,用來作網路流量監控的工作。
雖然混合式IPS(Hybrid IPS)的功能變得更強韌,可有效延伸入侵防禦的系統功能,但主要關鍵還是在於系統效能的瓶頸上,包括處理封包的速度與瞬間容量,而非深入網路縱深防禦架構,對於已採用IPS產品的管理人員,這算是一個好消息!
慎選方案
安全管理者在評選提升網路防禦的方案時,必須更加小心謹慎,尤其是要導入整合型IPS方案,這是一個從單一防禦方案,到完全整合所有網路設施的聯防作為,必須請廠商協助詳加規劃執行、測試及驗證,對於本身企業網路環境的規模、互動性,是否可以順利正常運作,以增加對於此方案的信心。
理論上, Cisco已經可以將IPS模組加入其下的交換器與路由器之中,提供一個較完整的方案,足以消弭對於IPS的重重疑雲,且讓我們拭目以待。 根據以往的經驗,網路骨幹設備廠商在安全這一塊領域並沒有太傑出的表現,而未來Cisco、Juniper、HP以及Enterasys Networks等大廠,預計將IPS融入其骨幹設備中,不過其安全上的效力還是比不上專業廠商,如ISS、Symantec、Network Associates與Check Point令人安心。
換句話說,專業安全設備廠商沒有足夠的研發能量,將其產品線擴展到基礎骨幹設備中,在過去的經驗裡,通常是由較大的骨幹設備廠商,併購具資訊安全產品線的企業,像Avaya買下 VPNet科技,而形成更強勢的企業體。因此,有效綜合各家產品的特色,形成集團間互相競爭、合作,才能推出更具潛力、彈性、更實用的IPS方案。 可以預期到,未來完美的IPS解決方案,一部分會來自於網路弱點掃瞄產品,以及原IDS/IPS廠商所擅長的智慧型推論引擎,加上各家交換器、路由器廠商所提供的網管系統所組成。但是目前仍然沒有一套整合上述功能的共通標準,實際上還是有待努力。
就市場發展趨勢而言,通常小廠都會依附在市場主流的庇蔭下,舉例來說,之前IDS廠商就趨向於支援防火牆大廠的產品規格,例如:Cisco的 PIX系列、Juniper的NetScreen以及Check Point的FW-1,支援其防火牆的規則格式,話雖如此,其整合的程度還是由大廠決定,而沒有一定的業界標準。相對的,如果是像Sonic WALL 、WatchGuard Technologies或Secure Computing等產品,恐怕就沒有這麼多廠商支援其產品格式了!
另外一種整合各家廠商的方式,是透過相同的作業平台與系統程式來綁住廠商,使其具有共通的平台,而增加其互通性,換言之,如果我們目前是採用一些比較封閉的系統所開發的產品,或者是其架構缺乏彈性、使用不夠公開的規格,那可能就必須承擔一定的風險。
IPS 市場目前還在發展階段,預期還有一段成長、演進的空間,但老實說,IPS往往受限於網路基礎架構,In-line IPS只能截獲其所掌控的線路資訊,在大型網路中難以做到全面性的防禦。IPS的原始目的應該是要涵蓋整個網路構面,就目前實際的狀況來說,除非網路設備商能夠開出誘人的價格,讓用戶有意願、預算,以IPS功能的交換器、路由器汰舊換新,才能有更進一步的發展。
本文作者JOEL SNYDER (joel.snyder@opus1.com) 目前任職於Opus One 資訊顧問公司,為資訊安全測試聯盟的成員。
最新活動
2024.05.24
AI新技術 全面捍衛網路安全
2024.04.25
漢昕科技線上資安黑白講「端點管控零信任,軟硬資產不放任」
2024.04.25
ipas資訊安全工程師能力培訓班(初級/中級)
2024.04.26
建構智慧製造對應資安解方媒合交流會
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
Palo Alto Networks:全球多重勒索軟體攻擊激增 49%,台灣製造業、高科技業、營建業受影響深
思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
思科 Duo遭供應鏈攻擊!用戶多因子身分驗證日誌外洩
零壹科技成立「聯壹數位」子公司強化雲策略布局
趨勢科技公佈「Operation Cronos」癱瘓LockBit細節
資安人科技網
文章推薦
碩泰網通宣布取得Tenable台灣區代理權
Check Point 推出具進階威脅防護能力的創新單一介面電子郵件管理解決方案
思科推出思科Hypershield ,重新定義人工智慧時代的資料中心與雲端安全