入侵防御:最佳解决方案?集成解决方案?

it专家网 发表于:12年07月25日 11:00 [转载] DOIT.com.cn

  • 分享:
[导读]美国《网络世界》网站对入侵防御系统(IPS)是采用最佳的产品还是集成的解决方案展这个老问题开了争论。持最佳产品观点的人认为,安全是一个需要尽可能的最佳点的地方。但是,集成的解决方案提供商认为,日益发展的威胁需要全面的观点。这个观点要考虑更多的因素才能实现。下面是正反两方的观点。读者可以判断谁的观点正确。

观点2:集成是最好的

Palo Alto Networks高级安全分析师韦德·威廉逊(Wade Williamson)撰文指出,对于入侵防御系统采取集成的方法还是最佳技术的方法的争论是一个虚假的选择。目前,对于入侵防御系统采取的最佳的方法是集成的方法。威胁环境和安全行业本身都支持这个观点。

10多年来,安全行业一直试图使用一种新的专用设备解决每一个新的安全挑战。这个方法在操作上是不可行的并且最终是无效的。单独的系统造成了信息竖井,导致设备在每一个网段上蔓延,并产生管理和运营开销。

同样重要的是,随着攻击技术日益高级,单独的解决方案缺少检测和修复复杂的现代攻击所需要的重要的背景信息。

现代的IT威胁的长期发展已经超出了单独的入侵防御系统能够解决的攻击类型。现在的攻击者并不把自己限制在仅仅利用一个安全漏洞方面。相反,他们利 用许多安全漏洞、恶意软件、远程接入攻击、被感染的URL以及已知的或者客户化的威胁。利用各种应用程序能够进一步d利用上述威胁。这些应用程序能够代 理、秘密传送和加密威胁以避开传统的安全措施

要阻止这些类型的威胁,我们必须保证通讯本身的可见性,控制所有的各种威胁规定并且完全在相关的环境中做这个事情。单独的入侵防御系统不能做这个事情。这是所有的坚定的入侵防御系统厂商或者被大型网络安全厂商收购或者开发自己的下一代防火墙的主要原因。

威廉逊说,我可以肯定,上述说法会引起一些不满。因此,让我提供一些信息来支持这个观点。首席,目前对网络威胁的任何讨论都应该从威胁如果避开安全 措施开始。一个入侵防御系统将漏掉它看不到的或者找错地方的威胁。因此,在通讯还没有达到入侵防御系统之前,这场战斗已经失败了。集成的解决方案正是在这 个地方提供单独的入侵防御系统缺少的重要的环境信息和控制能力。

例如,考虑如何定期使用应用程序隐藏威胁。他们能够加密通讯、跳点端口或者在其它应用程序中建立隧道以便出现在人们意想不到的地方。考虑到入侵防御 系统特征一般是根据端口应用的(例如在端口Y至端口Z使用X特征),这是很重要的。如果这个威胁出现在预料之外的端口,那么,这个特征就不会执行。

除了躲避应用程序之外,代理程序、远程桌面工具、压缩的通讯以及UltraSurf和Hamachi等专用饶过工具都能帮助攻击者避开检测。相比之 下,下一代防火墙能检测所有的通讯,无论是什么端口,因此,避开端口是无效的。而且,它能不断地解码协议和应用程序,因此,通讯不能隐藏其中并且控制所有 的应用程序类型。这样,想饶过检测的通讯就不允许通过网络。

对于专用的入侵防御系统来说,问题还不止是应用程序。一个现代的网络威胁将融合安全漏洞、各种类型的恶意软件以及远程网站和服务器。所有这些组件一 起作为这个攻击的一个组成部分,每一个部分对于安全行业来说可能是已知的或者未知的。单独的入侵防御系统仅知道其中的部分组件(已知的安全漏洞),而漏掉 其它的组件。

事实上,对于不考虑现代恶意软件的复杂性的现代“入侵防御”措施很难想象一种合理的方法。现代恶意软件通常感染代理程序和正在运行的控制机制。一个 入侵防御系统可以在这里或者那里检测到奇特的病毒,但是,不能检测出对网络构成威胁的数百万恶意软件样本。一个入侵防御系统也许能检测少数已知的恶意 URL,但是,缺少数百万网站的每日更新以便跟踪已经被感染或者正在发布威胁的网站。在现代威胁防御中,关联的环境是王。单一功能的解决方案不起作用。

而且,入侵防御系统产品仅限于已知的安全漏洞。虽然所有的现代入侵防御系统解决方案都使用安全漏洞特征,但是,有些特征仍是以已知的东西为基础的。任何真正的未知的特征都会漏掉。

恶意的指挥与控制通讯定期在网络上显示为未知的通讯。未知的或者没有分类的URL可能是一个攻击的迹象,因为攻击者将迅速建立和撤销URL使他们很 难被跟踪。IT需要检测未知文件中恶意行为的能力。还有许多超出入侵防御系统能力的事情。但是,这些事情对于阻止入侵者都是非常重要的。

因此,有关单独的和集成的入侵防御系统的争论基本上解决了(至少暂时是如此)。随着坏人从单个攻击的安全漏掉向多方位的和多向量的威胁发展,如果我们人为地把我们的网络安全智能和强制执行措施分割为专门的竖井,我们就会让这些坏人占优势。

[责任编辑:张存]
张存
2013年5月7日,全球领先的独立企业数据集成软件提供商Informatica在北京召开了媒体见面会,Informatica公司执行副总裁兼首席营销官Margaret Breya女士和Informatica大中国区总经理王晨杰先生向到会的数十家媒体阐释了Informatica公司最新发展蓝图,共享了数据集成和数据质量管理方面的成功经验,以及布局中国市场的最新思路。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.