哪一款产品更适合保护企业 IDS还是IPS

对于许多企业而言,言及入侵检测系统(IDS)和入侵防御系统(IPS)时,最棘手的任务起始是如何化繁为简,清楚地了解自己的需要,并明确所选系统的应用功能。市场上用于防火墙,应用程序防火墙,统一威胁管理设备,异常检测和入侵防御的产品琳琅满目,用户很难对其进行区分,更不用说选择最适合自己的产品了。

可能有企业正在调查入侵检测系统是否可被入侵防御系统所取代,或者是否应该将二者同时保留以获得更全面的保护。分层安全和不恰当的操作之间往往有着明显的界线。这样看来,要比较入侵检测系统和入侵防御系统,我们需要分析二者所提供的基本功能,二者在实际操作中的差异以及了解一些使用案例。

IDS vs IPS :保护的范畴

对于那些不熟悉技术的人而言,入侵检测系统是一种监控网络中未授权操作或恶意软件的软件或设备。使用预置的规则,入侵检测系统就可以检测端点配置以便确定其端点是否易受攻击(比较有名的是托管型入侵检测系统),用户还可以记录网络上的行为,然后将其与已知的攻击或攻击模式进行比对(即基于网络的IDS)。这一技术已经应用多年,而且商家销售时也想出不少噱头,包括优良的签名功能,但是免费的开源型入侵检测系统,如Snort和OSSEC仍然很受欢迎。

相反,IPS不仅可以监测恶意代码,僵尸网络,病毒和定向攻击所发送的不良数据包,还可以采取措施阻止这些数据包损坏网络。即便你觉得自己的网络不足以成为犯罪分子下手的目标,也不要忘记,他们使用的是自动扫描程序来寻找互联网中存在的漏洞,因此他们可以列出所有漏洞备自己选择。这些攻击者或许会追踪特殊的敏感信息或是知识产权信息,或者他们对任何可能得手的数据感兴趣,如员工资料,财务记录或是客户数据。

一个设置好的入侵检测系统或入侵防御系统可以在架构中的恶意程序产生破坏前,有效对其进行识别。例如,假设一个攻击者想在你的网络中装木马。他会先将恶意代码放到你的网络中再伺机激活代码进行破坏。如果入侵检测安装到位,那么攻击者再试图激活这些恶意代码的时候,入侵检测系统或入侵防御系统都会识别这一行为,并对用户发出警告或直接阻止这攻击者的破坏行为。

由于传统防火墙只监视基本的连接状态,所以如果仅使用传统的防火墙,那么很有可能这类攻击会被忽视。如果攻击者将恶意代码藏在普通的数据包中,还可能躲过异常检测引擎的排查。这些技术与入侵检测和防御之间的差别在于IDS/IPS在数据包的深层检测方面发挥的作用更大,它们不仅仅是分析数据包源自何处,去向何方;还要分析数据包的属性是否与未授权或恶意操作匹配。入侵检测系统或入侵防御系统会更好地识别有效载荷,即便攻击者用怪异的数据包对其攻击进行伪装。

IDS vs. IPS:两种技术之间的差异

关于IDS和IPS是否是独立的,可持续型技术,亦或是应该用IPS替代IDS,业内存在多种说法。欲将二者进行比较,我们应先对其分别进行阐述。IDS系统有许多特定的使用实例,如当信息安全专家要识别攻击或漏洞,却又不采取行动的时候。这类情况最典型是出现在不需要阻止攻击的检测中(收集数据或是观察蜜罐),安全团队无权阻止攻击以及我们想查看检测日志时。IPS非常适合那些想要检测并阻止攻击的企业。而IDS只是指示进程中可能存在攻击;而要阻止攻击的发生,管理员还需采取其他措施。

让我们看一组案例,以此了解IDS和IPS技术如何对这些问题进行响应。

处理已知漏洞

拥有大量应用和托管类型的企业可能会发现预先定义的数据组合和客户规则也可以弥补应用或业务进程内的不足。如果一个企业的系统在不影响另一主机功能的情况下,存在无法修补的漏洞,那么一个IPS或许是另一个最佳选择,因为一套合适的IPS规则可以在漏洞到达其他服务器前,成为阻挡已知漏洞的端点。

IDS和IPS的刺激主机给出响应的功能使得它在截获,阻止和警告攻击方面有着自己独特的一面。这些方案可用于网关或内部架构中位于前沿易损坏的部分。当用户需要保护Web服务器或其他可联网应用以及来自外部网络的设备时,推荐大家在网关上使用;而大家的目的是要保护特定的高价值资产,如关键任务型应用服务器,使其免受那些通往受信任端点或源于内部攻击的恶意操作的攻击时,推荐大家将方案部署在内部。

相关数据

比较畅销的IDS和IPS设备往往提供了综合性极强的修改注册信息和数据收集。即便是没有可操作的警告,从这些设备和传感器中收集的数据也可在事后用于事件关联和案例分析。例如,有很多产品服务器的破坏是在发现了攻击可见的情况下发生的,安装有IDS和IPS的企业在事件排查中更具优势。这类数据在攻击发生之前和之后都对分析师很重要,因为它们有助于企业建立意外事件响应和配套审计。

结论

抵御入侵系统服务于商业。这里列举的IDS和IPS的应用案例是为了帮助大家选择最适合自己企业的方案。如果你的企业环境托管了关键的系统,机密数据或者是位于严格规则之下,那么就可以选择IDS,IPS或二者都选。通过了解上述使用案例,你可以确定自己的企业是否能从入侵防御中获益。