入侵防御系统(IPS)很久以前被称为是安全操作的“神丹妙药”,在经历炒作周期后,IPS又回到我们身边。而现在,下一代IPS(NGIPS)正在逐渐部署到现实世界环境中,现在的问题是IPS是否将存在于企业环境,还是逐渐消逝——随着企业较少关注外围安全,而试图绑定类似功能到UTM和下一代防火墙中。
对于这个问题,还没有达成共识。但如果你平均出NGIPS支持者和反对者,会出现一个中间地带。正如许多重新设计的产品,如果正确部署并由技术熟练的员工支持,IPS仍将为企业提供有效的安全保护。
Sophos公司技术战略主管James Lyne表示,“尽管企业较少关注外围安全,IPS仍然很有用,你不再依赖于网络作为安全边界,但保持网络整洁和发现异常活动,总是有好处。”
这并不是说没有反对者。例如安全顾问Nathaniel Couper-Noles,就怀疑IDS/IPS的用处。Neohapsis公司的首席安全顾问Couper-Noles解释说,移动、云计算、IPv6等技术都对IPS背后的经济带来挑战,“对于很多客户来说,在进入复杂的反应式解决方案前,最好专注于战略和过程等基本面,IDS/IPS可能不会消失,但当前的架构可能会对其失去一些兴趣,类似于病毒让位于高级的多态性攻击一样。”
然而,其他安全工作人员发现,最新改进版的NGIPS能够帮助降低风险,虽然还并不完美,但是已经逐渐改进。
IT Cyber Security领先的渗透测试者Joshua Crumbaugh表示,“所有这些解决方案都可以被绕过,但它们提供的不断变化的性质和全面的监控能够减少事故的数量,这些系统的另一个好处是其应用程序意识,和全栈可视性功能。这些功能允许可接受的使用政策的严格执行,并防止对受限的操作系统和软件的未经授权访问。”
也许评估NGIPS中最重要的是理解下一代IPS中的“下一代”并不是革命性的。SystemExpert公司顾问Alex Chayeriat开玩笑道,“他们应该将其命名为‘比IPS好一点点’,这些设备变得更好了,但没有引入新的方法,只是大大改进旧的方法—上下文意识、安全报告、应用意识和整体更深的检查。”
Sourcefire公司创始人兼首席技术官Marty Roesch解释道,这个系统为其保护的环境构建了一份地图,并使用它来通知IPS,“下一代IPS是建立在关于网络的信息基础上,这些信息会实时更新,告诉我们对于特定网络在特定时间点,事件的重要性。”Chaveriat表示,这种上下文感知能够更好地帮助企业评估外围威胁。此外,NGIPS设备开始以更好的方式处理安全报告,提供一个简单的平台来查看所有数据。
Plixer International公司首席执行官Michael Patterson表示,虽然企业可能嗅到了网络外围的“死亡”,IPS仍将作为分隔工具。Patterson表示,“一些企业应该考虑在内部网络部署IDS/IPS,监控外围异常行为可能会错过横向移动到企业内部的威胁。”
即使企业考虑将外围保护作为优先工作,IPS解决方案并不一定会锁定整个企业。NGIPS增加更多功能,它就与其他已经在执行这些功能的类别产生交集。WatchGuard公司安全战略主管Corey Nachreiner表示,“NGIPS与UTM和NGFW共享很多功能,这两个解决方案都有NGIPS的功能,如果你认为你可以受益于整合NGIPS中的功能,那么为什么不整合更多功能呢?”
无论是选择UTM还是NGIPS中的功能,Nachreiner表示,寻求网络控制和可视性的企业应该找到提供关于应用活动的细粒度信息的工具,该工具还要能够解密HTTPS,并集成一系列认证平台。更重要的是,企业应该更关注报告和管理控制台。
Nachreiner表示,“很多这些解决方案看起来很类似,但真正的区别在于,它们管理的难易度,以及有多少有用的报告,寻找能够帮你节省管理时间,而不牺牲安全性的功能和特性。”
Roesch说道,“我认为入防御系统最大的错误源自于厨房水槽的方法:打开一切,让芯片落入到可能的位置,这是人们部署入侵防御遇到的问题。人们需要投入时间来正确配置,但你需要从简单的事情做起。”
根据安全服务供应商BTB Security的Ron Schlecht表示,传统的基于签名的技术很容易规避,但随着IPS增加基于异常的解决方案和其他高级功能,学习曲线变得更陡了。他指出,“企业购买这些解决方案的渴望度降低了,人们越来越意识到重要的在于正确地部署这些解决方案,此外,企业要足够成熟,不仅要了解他们应该寻找的东西,而且当发现异常时,需要能够采取行动。”
事实是,企业需要这些系统、流程和技能来应对威胁。然而,如果这些流程已经部署到位,NGIPS将加固安全性。如果IDS/IPS检测是你的安全计划的很大一部分,那么,你应该升级到NGIPS,提供更少的误报和更多的细节信息。