觀點

次世代IPS防護重點:由內而外的惡意連線

2012 / 07 / 02
廖珮君
次世代IPS防護重點:由內而外的惡意連線

資安攻擊日新月異,資安防禦設備也持續更新,包括防火牆或IPS都有所謂次世代產品。

 

Gartner2009年定義出次世代防火牆(NGFW)所需具備的條件與能力,除了傳統防火牆功能外,還需擁有檢測封包、應用程式辨識等能力。到了2011年則定義出次世代IPS(NGIPS)的特性,同樣除了傳統IPS功能外,還要有:(1)應用程式辨識AP Awareness(2)內容感知Content Awareness(3)流量控制與配額管理Agile engine的能力。威播科技總經理劉榮太認為,這是因為資安攻擊型態轉變,加上AP網路化愈來愈普遍,使得IPS必須轉型才能發揮功效。

 

劉榮太進一步指出,次世代IPS主要的改變重點有二個:一是要能防護/阻擋惡意程式,二則是管控網路應用程式。

 

先就防惡意程式來看,目前資安攻擊手法以隱蔽殭屍網路(Stealth Botnet)、動態木馬(Dynamic Trojans)、針對性攻擊(Targeted Attack)APT攻擊等為主,這些幾乎都是由Maleware所引起,而且這些Maleware還會不斷進化,像是數小時變動一次網路位址、加密通訊、每天產生數十萬支以上的變種、精準鎖定攻擊目標,一旦企業內部的電腦感染了惡意程式,就可能自動傳送機敏資料到駭客手中。

 

而傳統IPS只在意由內而外的攻擊,比較不容易抵擋這種威脅,次世代IPS則會進一步關注由內而外的惡意連線,像是:偵測C&C連線、偵測Botnet黑名單之IPURL、過濾惡意網址/惡意程式/病毒等。當然要做到有效偵測,IPS後端的比對資料庫要有足夠規模,否則意義不大。

 

再從管控網路應用程式來看,主要放在流量管控上,可以按照應用程式類別如:P2PIMHTTPWeb MailMedia StramingFile Download…等控制流量,限制上傳及下載的流量與頻寬,避免網路頻寬遭個別用戶耗盡或少數非工作時使用之軟體佔用,同時進一步為企業必要之特殊營運軟體應用,提供保障頻寬。

 

最後,劉榮太強調,企業必須做好安全防護三大步驟:威脅過濾(過濾病毒和惡意程式)、流量分配(根據需求決定哪個AP要用多少流量)、及應用控制(哪些人在哪些時段可以使用哪些AP),才能從容因應新世代的資安威脅。