入侵防御:最佳解决方案?集成解决方案?
it专家网 发表于:12年07月25日 11:00 [转载] DOIT.com.cn
观点2:集成是最好的
Palo Alto Networks高级安全分析师韦德·威廉逊(Wade Williamson)撰文指出,对于入侵防御系统采取集成的方法还是最佳技术的方法的争论是一个虚假的选择。目前,对于入侵防御系统采取的最佳的方法是集成的方法。威胁环境和安全行业本身都支持这个观点。
10多年来,安全行业一直试图使用一种新的专用设备解决每一个新的安全挑战。这个方法在操作上是不可行的并且最终是无效的。单独的系统造成了信息竖井,导致设备在每一个网段上蔓延,并产生管理和运营开销。
同样重要的是,随着攻击技术日益高级,单独的解决方案缺少检测和修复复杂的现代攻击所需要的重要的背景信息。
现代的IT威胁的长期发展已经超出了单独的入侵防御系统能够解决的攻击类型。现在的攻击者并不把自己限制在仅仅利用一个安全漏洞方面。相反,他们利 用许多安全漏洞、恶意软件、远程接入攻击、被感染的URL以及已知的或者客户化的威胁。利用各种应用程序能够进一步d利用上述威胁。这些应用程序能够代 理、秘密传送和加密威胁以避开传统的安全措施
要阻止这些类型的威胁,我们必须保证通讯本身的可见性,控制所有的各种威胁规定并且完全在相关的环境中做这个事情。单独的入侵防御系统不能做这个事情。这是所有的坚定的入侵防御系统厂商或者被大型网络安全厂商收购或者开发自己的下一代防火墙的主要原因。
威廉逊说,我可以肯定,上述说法会引起一些不满。因此,让我提供一些信息来支持这个观点。首席,目前对网络威胁的任何讨论都应该从威胁如果避开安全 措施开始。一个入侵防御系统将漏掉它看不到的或者找错地方的威胁。因此,在通讯还没有达到入侵防御系统之前,这场战斗已经失败了。集成的解决方案正是在这 个地方提供单独的入侵防御系统缺少的重要的环境信息和控制能力。
例如,考虑如何定期使用应用程序隐藏威胁。他们能够加密通讯、跳点端口或者在其它应用程序中建立隧道以便出现在人们意想不到的地方。考虑到入侵防御 系统特征一般是根据端口应用的(例如在端口Y至端口Z使用X特征),这是很重要的。如果这个威胁出现在预料之外的端口,那么,这个特征就不会执行。
除了躲避应用程序之外,代理程序、远程桌面工具、压缩的通讯以及UltraSurf和Hamachi等专用饶过工具都能帮助攻击者避开检测。相比之 下,下一代防火墙能检测所有的通讯,无论是什么端口,因此,避开端口是无效的。而且,它能不断地解码协议和应用程序,因此,通讯不能隐藏其中并且控制所有 的应用程序类型。这样,想饶过检测的通讯就不允许通过网络。
对于专用的入侵防御系统来说,问题还不止是应用程序。一个现代的网络威胁将融合安全漏洞、各种类型的恶意软件以及远程网站和服务器。所有这些组件一 起作为这个攻击的一个组成部分,每一个部分对于安全行业来说可能是已知的或者未知的。单独的入侵防御系统仅知道其中的部分组件(已知的安全漏洞),而漏掉 其它的组件。
事实上,对于不考虑现代恶意软件的复杂性的现代“入侵防御”措施很难想象一种合理的方法。现代恶意软件通常感染代理程序和正在运行的控制机制。一个 入侵防御系统可以在这里或者那里检测到奇特的病毒,但是,不能检测出对网络构成威胁的数百万恶意软件样本。一个入侵防御系统也许能检测少数已知的恶意 URL,但是,缺少数百万网站的每日更新以便跟踪已经被感染或者正在发布威胁的网站。在现代威胁防御中,关联的环境是王。单一功能的解决方案不起作用。
而且,入侵防御系统产品仅限于已知的安全漏洞。虽然所有的现代入侵防御系统解决方案都使用安全漏洞特征,但是,有些特征仍是以已知的东西为基础的。任何真正的未知的特征都会漏掉。
恶意的指挥与控制通讯定期在网络上显示为未知的通讯。未知的或者没有分类的URL可能是一个攻击的迹象,因为攻击者将迅速建立和撤销URL使他们很 难被跟踪。IT需要检测未知文件中恶意行为的能力。还有许多超出入侵防御系统能力的事情。但是,这些事情对于阻止入侵者都是非常重要的。
因此,有关单独的和集成的入侵防御系统的争论基本上解决了(至少暂时是如此)。随着坏人从单个攻击的安全漏掉向多方位的和多向量的威胁发展,如果我们人为地把我们的网络安全智能和强制执行措施分割为专门的竖井,我们就会让这些坏人占优势。