对于那些考虑使用入侵检测系统(IDS)和入侵防御系统(IPS)的企业来说,最困难的一个任务就是要确定什么时候需要这些技术,以及它们能够做什么。市面上的产品种类繁多:如防火墙、应用程序防火墙、统一威胁管理(UTM)设备、异常监测和入侵防护等,企业很难从中做出选择,也很难确定哪些产品是最适合自己的。
有的企业可能还在研究是否可以用IPS代替IDS,或者是否有必要同时使用这两种产品进行全方位的保护。分层的安全和不正确的操作之间通常存在着明显的界限。在本文中我们会对IDS和IPS进行一次对比,其中包括:两种技术能够提供的基本功能以及保护类型、两种技术在实际应用中的区别以及这两种技术的几个常用实例。
IDS vs.IPS:保护范围
对于不太熟悉IDS的人来说,IDS是一种监视未授权或者恶意网络活动的软件或者设备。IDS使用预先设定的规则,检查网络端点配置,确定它们是否容易受到攻击(这叫做基于主机的IDS);它还可以记录网络中的活动,并与已知的攻击或者攻击类型进行对比(这叫做基于网络的IDS)。该技术已经存在很多年了,而且里面添加了各种附加功能,其中包括高级签名。而且,免费的开源IDS产品(比如Snort 和OSSEC)也很受欢迎。
反之,IPS不仅能够监测由恶意代码、僵尸网络、病毒以及有针对性的攻击引起的不良数据包,还能够在破坏发生之前采取行动,从而保护网络。你可能认为你的网络不值得黑客去攻击,但是你要知道许多犯罪分子会使用自动扫描来探测互联网,对每个网络都进行探测,以便记录漏洞,供日后使用。这些攻击者可能在寻找特定的敏感数据或知识产权,或者对任何到手的东西都感兴趣,比如说员工信息、财务记录或者客户数据等。
在基础设施中的恶意软件引起破坏之前,性能良好的IDS或者IPS就能够有效地识别它们。比如,我们假设攻击者试图在你的网络中偷偷放入一个木马。该恶意代码可能已经将木马放入,并可能在静静地等待时机。这是开始的状态,激活后它会变成严重威胁。如果装有合适的入侵检测系统,当攻击者试图激活该恶意代码时,IDS或者IPS就会识别这种活动并立即采取措施,要么报警,要么进行防御。
不过,那些用来监测普通网络的传统防火墙很有可能对这种攻击一无所知。如果此类攻击附着在看起来正常的网络流量中,也有可能避开异常监测引擎。这些技术和入侵检测与防御系统的区别在于IDS/IPS可以进行更深层次的包监测,不仅分析数据包的来源和去向,而且还能分析它的内容,以此确定它们是否在对系统发起攻击。这些数据是决定包的特性是否与未授权或者恶意行动相对应的关键,这种情况可能是攻击的前兆。当攻击者采用畸形的或者老式数据包来伪装一次攻击时,IDS/IPS技术能够更加智能地处理危险的攻击内容。
IDS vs.IPS: 两种技术的区别
行业中人们对此有几种观点:有人认为IDS和IPS是独立的、可持续的技术;有人认为IDS是一种逐渐过时的技术,应该被IPS替代。在对IDS和IPS进行比较时,我更倾向于前者;IDS系统有许多具体的使用案例,比如,当信息安全人员需要识别攻击或者漏洞,而不需要采取任何措施的时候。这种检测最明显的使用案例包括:不需要停止攻击(收集数据或者监视蜜罐)的情况;安全团队没有权限去停止攻击(如果所观察的网络不是我们的)的情况;还有当我们想要监测日志,需要跨越安全来进行的情况。举个很好的例子:没有足够资金支付与主要生产合作伙伴的服务器连接的制造企业。在这种情况下,企业可以决定牺牲即时安全(immediate security)来获取持续的商业运作。类似的,IPS最适用于需要监测并阻止或防御攻击的企业,因为安全是这些企业最重要的东西,企业需要积极主动地保护重要资产;而IDS只能显示出攻击的存在,阻止入侵则是管理员的事情。
我们来看以下几种情况,来了解IDS和IPS是如何处理它们的。
处理已知的漏洞
应用程序和主机类型众多的企业可能会发现,将预定义和自定义规则结合起来,也是一个处理应用程序或者业务过程缺陷的权宜之计。如果企业不中断其他的主机功能,就不能为某个系统打补丁,那么IPS可能是下一步最好的选择,因为适当的IPS规则可以在入侵到达服务器之前就对已知漏洞进行防护。
IDS和IPS能够模拟主机响应,这让它们可以发现、阻止或者警告对受保护的服务器有负面作用或者去破解数据的攻击。这些措施可以用在网络之间的网关上(很像防火墙),或者用在处于受保护资源之前的内部基础设施中。在保护Web服务器或者其他能够访问互联网的应用程序或者设备不受外部攻击时,我们推荐使用网关或者面向外界的方法;而在保护特定的高价值资产时,我们推荐使用内部保护,比如有些恶意软件会从可信端点攻击任务优先的应用程序服务器,有时甚至还可能会存在内部攻击等。
相关数据
受欢迎的IDS和IPS设备提供非常全面的日志记录和数据收集功能。即便没有任何行动的警报,系统在受到攻击之后,从这些设备和传感器中收集到的数据也可用于事件关联(event correlation)和网络取证。比如,如果发现一些关键的生产服务器被入侵或者受到攻击,拥有IDS和IPS的企业在试图分离出导致这次入侵的事件时会有相当大的优势。这种数据在攻击期间和攻击之后都是分析的关键,而且对企业的事件响应和规则遵从审计会有所帮助。
结论
入侵检测系统像其他事物一样,都是服务于业务宗旨或者满足一个目标。这些仅仅是最常见的IDS和IPS使用案例,本文只是提供了最基本的东西,便于大家理解这种技术是否满足企业要求。如果你的环境中有重要系统、秘密数据或者必须遵守严格的规则遵从,那么我推荐使用IDS、IPS或者两者一起。回顾上述使用案例,你可以判定你的企业是否会从入侵防护系统中受益。