曾经入侵检测系统(IDS)和入侵防御系统(IPS)被认为是解决企业内部检测攻击的最佳方案。 但近来IPS/IDS技术被认为是过时,无效和无用的。而事实上它介于这两种极端观点之间。IPS/IDS技术是全面攻击和漏洞检测系统的重要组成部分,它们与其他类型的企业安全控制协同工作。
与10或15年前相比,IDS/ IPS技术并没有很大的改变,但也有重大的技术创新和改变,提高了检测能力。本文将会带给你IPS/IDS的最新技术,新功能和其他显著变化。
信誉服务
很多基于网络和基于主机的IDS和IPS产品最近都增加了信誉服务。这些服务已经在其他类型的安全控制中使用多年。信誉服务能收集域名,IP地址,应用协议,物理位置和计算活动的其他方面信息。然后,IPS/IDS系统利用这些信息来确定新的活动是否是是恶意的。此信息对提高确定IPS/IDS警报的优先级特别有价值。例如,IPS/IDS传感器可以对各类不寻常的活动发出警报,但是这些IP地址之一的其他恶意操作历史记录可能会提升它的分析优先级,因为它可能是有恶意的。
无线IPS/IDS的改进
无线IPS/IDS技术比其他形式的IPS/IDS技术都要先进。随着无线技术的发展,无线IPS/IDS技术正不断扩大自己的能力。例如,自从IEEE 802.11n传输标准确定后,大多数无线IPS/IDS技术已经增加了对此标准的支持。
不管企业是否支持无线设备,企业使用无线IPS/IDS都是一个很好的选择。如果企业支持无线,包括BYOD(自备设备),那么就更需要监控来避免网络配置错误和攻击。如果企业不准许使用无线技术,无线IPS/IDS仍然可以检测出未经授权的使用,甚至帮助企业自身找到哪里有无线。
企业应该充分利用企业移动设备管理(MDM)软件所提供的与无线IPS/IDS一样的性能。这样的软件越来越多地部署在企业内部,用来帮助企业管理智能手机,平板电脑和其他移动设备。
SSL加密流量的在线检测
随着HTTPS和其它加密协议应用的增加,网络IPS/IDS传感器普遍对检测网络流量已变得没有多大作用。然而,最近一些网络IPS/IDS产品增加了内网部署和检测SSL加密流量的能力。这些产品基本上就是充当一个代理,它建立了两个SSL的连接:一个从端点A连接到IPS/IDS传感器,另外一个从IPS/IDS传感器连接到端点B,从端点A到端点B就不是单一的SSL连接,而是通过传感器加密。事实上,这种设备可以对一个加密的数据包进行解密,检测,再加密,然后将其无显著延迟的发送。而且它也在连接中插入一个代理,代理自身是安全和可靠的。企业可能更倾向于使用基于主机的IPS/IDS而不是基于网络的IPS/IDS进行SSL加密流量检测。
虚拟环境中IPS/IDS的应用
云计算的兴起带来了对云安全技术的特性需求。值得庆幸的是,hypervisor(虚拟机管理器)是监控一个虚拟实例和不同虚拟实例间网络行为的好地方,更知名的叫法师内部检测。一些hypervisor主动提供自己的入侵检测技术,另外一些hypervisor可以把内部检测收集而来的信息传递到外部安全的控件,例如,标准的基于主机的IPS/IDS来检测和发出警报。企业要确保当一个虚拟实例从一个云服务器移到另一个时,其安全策略(包括IPS /IDS配置)也一并被转移。