入侵偵測系統的前景 大約在西元1985年起,入侵偵測系統的研究與發展一直相當活躍且持續在進步中,但是在商業領域上的廣泛採用卻是到西元1996年才逐漸開始。在過去的幾年之中,商業產品的入侵偵測系統銷售量一直持續攀升,分析家預估銷售市場將會繼續擴大成長。
部份商業產品的入侵偵測系統因為產生過多的誤判警訊,為數頻繁的攻擊報告,缺乏擴展性以及缺乏與企業管理系統的整合性,因此一直為一般企業大眾所垢病。雖然如此,但是商業產品的入侵偵測系統仍然處於快速進步發展的階段中,因此相信在不久的將來,這些缺點將會一一被提出並得以解決。
入侵偵測系統產品的發展生態其實和防毒程式非常相似:早期的防毒程式對一般使用者行為產生過多的錯誤警訊,而且無法有效地防範所有已知的病毒。但經過不斷的技術上改善與演進至目前為止,大部份的使用者已經不太會注意到防毒程式的存在,認為它們是一項基本必需的程式,而且有相當的信心它將會捕捉到所有已知的病毒。相信入侵偵測系統產品也將會走到這麼一天。
分段建置部署入侵偵測系統
作者簡介:本文作者賴左罕為畢業於倫敦大學皇家學院(Royal Holloway, University of London)之資訊安全碩士,目前任職顧問公司,擔任資訊安全顧問一職,主要專長 包含安全管理(Security Management)、資訊安全政策制定(Security Policy)、防火牆(Firewall Implementation)、入侵偵測系統(Intrusion Detection Systems)、入侵安全測試(Penetration Testing)、電腦犯罪搜證(Computer forensics)及緊急事件應變程序。
在每一個大型的企業系統安全架構上建置入侵偵測系統是一項必要的措施。然而以目前市面上所提供的入侵偵測系統的各項瓶頸,例如:對於安全技術相當有限的系統管理人才來說,仔細詳盡的入侵偵測系統規劃、先期的準備工作、系統評估與測試,以及專業的訓練,對建置一個有效的入侵偵測系統都將是一大考驗。有鑑於此,企業在選擇一個入侵偵測系統策略及方案前,必須先考慮到建置前的需求分析,是否相容於其現存的企業網路架構?是否符合其企業內部政策?是否有足夠的資源或人力來進行建置以及事後的管理維護?
企業應考慮採用分段式的建置方式,以便能在建置的過程中增加經驗,並能夠較清楚地確定所需要監聽的範圍及所需維護的資源。每一種入侵偵測系統的建置方式各有不同,而且入侵偵測系統的建置需要大量的先期準備工作以及持續性與管理者的互動。企業在建置入侵偵測系統前必需先定義適切的安全政策、計畫及應對程序,這樣當入侵偵測系統產生各種不同的警訊時,相關的人員才有依據可以針對不同的警訊做出適當的反應措施。
在此建議企業用戶考慮以混合「網路端」及「主機端」兩種系統的方式來建置入侵偵測系統以達到保護企業網路的最佳效果。第一步先建置「網路端」入侵偵測系統,因為它們安裝簡易而且維護容易,接著在具有特定任務的重要伺服器(mission-critical server)上建置「主機端」入侵偵測系統。
建置部署「網路端」入侵偵測系統
「網路端」入侵偵測系統的部署位置可以有許多不同的方式,不同的位置各司其不同的目的:
- 位置:建置在每一個外部防火牆之後。
目的:可以偵測到由外部對內部網路主要進入點而來的攻擊行為、可以對防火牆的政策及效能做評估確認,看其是否設定不當。
- 位置:建置在一個外部防火牆之前。
目的:可以證明由網際網路而來對內部網路攻擊的頻率、可以證明並記錄由網際網路而來對內部網路攻擊的手法。
- 位置:建置在主要的網路骨幹上。
目的:可以偵測在內部網路中未經授權的網路行為,並可監聽大量的內部網路流量。
- 位置:在重要的內部網段上。
目的:可以偵測到對重要資源的攻擊行為。
建置部署「主機端」入侵偵測系統
當企業在建置「網路端」入侵偵測系統之後,再建置「主機端」入侵偵測系統可以為企業網路安全帶來多一層的保障。但是要在企業網路中的每一台主機上建置「主機端」入侵偵測系統可以說是一項近乎「不可能的任務」的工作。因此,通常會建議只在賦予重要任務(mission-critical)的伺服器上安裝主機端入侵偵測系統。這樣的建置方式主要可以降低整體的建置成本,並且可讓有限的人力專注在處理重要任務伺服器上所產生的警訊。一旦建置「主機端」入侵偵測系統的運作及維護進入例行程序,一些對安全較為重視的企業可以考慮在大部份的伺服器上也開始建置「主機端」入侵偵測系統。在這樣的情況下,建議考慮選購具有使用簡明特色的中央管理介面(centralised management console)以及完整報告功能的「主機端」入侵偵測系統,以簡化建置程序及人力資源。