A-A+

IPS引导安全自动化

2009年02月24日 业界资讯 暂无评论 阅读 1 次
摘要:

在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其它项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。

IPS引导安全自动化
 
 

2009年2月23日 星期一中国计算机报

事先存在的覆盖零日漏洞攻击的天数 74% 53% 52% 41% 40% 20% 24% 50% 15% 38% 42% 10% 33% 8% 20%
带内带外 91.4% 69.7% 30.3% 8.6% 67.5% 32.5% 65.9% 34.1% 55.4% 44.6%

  在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其它项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。

  ■ 本报记者 那罡

 

  当今,全球黑客的数量与黑客技术在不断提升,复杂的扫描、渗透、协议模糊工具及技术也变得更加常见,造成安全威胁滋生的速度比以往任何时候都要快。

  TippingPoint中国区业务总监贾泉海说,最糟糕的是,现在黑客渗入网络、应用程序、数据库的驱动力很强,因为他们想要窃取信息,将其出售从而获利,这就是现代化的银行抢劫案。

  防御替代监测

  面对不断变化的各种威胁,怎样善加利用宝贵的预算,提供最大化的业务保障?答案可以归纳为一条准则:在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其他项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。

  针对让人头疼的安全威胁,Infonetics公司对用户在部署和管理不同生产商提供的IPS解决方案方面的体验进行了调查,共收集了169家在生产网络中使用IPS解决方案的公司给出的答案,特别是如何采购、安装和使用IPS解决方案。

  在该项研究中,应答者负责其所在公司IPS产品与服务的“管理或规划”。每家被调查公司平均雇员数量为9418人,均为以下五家IPS厂商之一的客户:思科、IBM ISS、McAfee、Sourcefire和TippingPoint 。

  基于深度包检测技术的IPS,其本质是阻拦已知的攻击类型和零日漏洞攻击,而无需人为干涉,基本不会出现误报或应用流量延迟。但是为了实现这一目的,必须符合一套非常严密的产品要求。这正是为何大部分入侵技术和产品还停留在以带外入侵监测为中心的水平,而不是带内入侵防御。

  IPS的好处显而易见,正如2003年8月业内一位重要分析师说的那样:“入侵防御将会替代入侵监测。”然而,Infonetics的IPS用户调查显示,部分IPS厂商的30%~45%的用户仍然没有在线部署这些带有大量能够阻拦恶意流量的过滤器的产品。他们仍然仅将这些产品作为带外使用,用来监测攻击,而不是拦截攻击。

  带外设备虽然可以检测到网络攻击,但不能拦截攻击。而带内设备提供实时深度检测并在第二层到第七层阻断攻击数据包。Infonetics进行的IPS客户调查显示,不同的IPS供应商提供的带内解决方案差别很大(见图1)。

  那么,为什么有些客户不采用带内IPS部署?既然在主动地阻拦恶意攻击方面好处这么多,为什么他们不愿意使用带内解决方案呢?Infonetics进行的IPS客户调查结果显示,使用带外解决方案的主要原因包括: 

  ·对可靠性/可用性的顾虑 

  ·吞吐量下降 

  ·流量延迟增加

  ·误报或阻断合法的应用流量

  对于任何主动式带内网络安全设备而言,这些顾虑都是很正常的。如果带内设备发生故障,不能平滑而透明地将自己从网络中排除,那么网络可用性就会受到损害。如果带内设备未被设计成具备必要的性能从而能以与网络相同的速度检测并传送流量的话,那么对吞吐量和延迟的影响将损害应用性能。

  此外,如果IPS系统警觉性过高,也将导致合法流量受阻。

  精准性很重要

  对于带内入侵防御而言,另一项关键要求是能够启用大量的过滤器来阻断攻击,而不仅仅是检测恶意流量。利用IPS过滤器拦截恶意流量而不阻断合法应用,要求过滤器具备极高的精准性。

  有时候,黑客会在软件供应商研发出软件漏洞补丁之前就发现应用程序漏洞,形成零日漏洞攻击。为了应对这种威胁,IPS厂商需要依靠御用的研究团队,致力于坚持不断的漏洞研究与分析,开发零日漏洞过滤器,在软件补丁发布前就堵住漏洞。其中的一个关键问题是:过滤器开发及相关更新的及时性,从而保护新发现、新公布的软件漏洞。

  那么,如何比较IPS厂商零日漏洞覆盖状况?根据Infonetics的调查数据,TippingPoint 的受访用户中半数回答他们得到了零日漏洞攻击威胁保护,另有24%的调查者称他们在漏洞公布当天得到了保护。20%的Sourcefire用户称预先得到零日漏洞攻击防护,而McAfee用户比率为15%,思科10%,IBM ISS是8%(见图2)。

  Infonetics将IPS过滤器配置分为三个级别。

  轻松的工作:能够在过滤器库中进行检索,将过滤器应用于各个网段,有效激活执行,在预期的时间框架内快捷、独立地完成,不需供应商的协助。

  适度的工作:在过滤器库检索、网段应用、策略执行激活等方面遇到一些问题,花费了比预期更多的时间。

  可观的工作:需要来自供应商的技术支持或销售支持以完成过滤器库检索、网段应用、策略执行激活等。

  据记者了解,TippingPoint依靠安全研究小组DVLabs,实现对零日漏洞攻击的覆盖和更新。DVLabs又以提供精准性非常高的IPS漏洞过滤器而著称,不会阻拦合法的应用流量。

  Sourcefire

  TippingPoint

  IBM ISS

  McAfee

  Cisco

  0%     10%   20%    30%    40%    50%    60%    70%    80%   90%   100%

  相关链接

  受访者百分比

  图2  用户收到零日漏洞攻击威胁的覆盖率

  来源:Infonetics Research IPS调查-2008年8月

  100%

  90%

  80%

  70%

  60%

  50%

  40%

  30%

  20%

  10%

  0%

  TippingPoint

  Cisco

  IBM ISS

  McAfee

  Sourcefire

  图1  五家厂商的IPS产品在用户IT环境中的带内与带外部署比例

  IPS的五大必备特性

  1.在线式网络可靠性

  为了实时阻拦攻击,产品必须在线部署,而不是挂在分路器或镜像端口上。这就意味着IPS必须从一开始就被设计成能够提供与现有路由交换架构相同的可靠性与网络可用性。如果出现问题,IPS必须能够在不影响正常业务流量的情况下平滑而透明地将自己从网络中排除。

  2.核心网络性能 

  一旦IPS证明其能够提供带内可靠性,它必须能以每秒数千兆位的速率处理并检查通信流量。之前那种仅将IPS置于广域网边界,以拦截一些与特定攻击过滤器匹配的蠕虫的日子早已结束。现在,IPS解决方案必须能够保护重要的内部网络点,包括数据中心、主要网络分段点甚至网络核心,以提供针对所有攻击的有效防御。

  3. 低延迟特性

  应用性能不仅涉及带宽问题,还必须确保低延迟。对于安全产品而言,这是一个非常严峻的挑战。如果安全产品需要运行上千个过滤器以自动阻拦恶意通信的话,监控速度就必须非常快,否则数据包将会受到延迟,应用响应时间将受到妨碍,员工也会抱怨。

  4. 攻击覆盖范围广泛

  为了保护网络不受数量不断增长且越来越复杂的攻击影响,IPS必须提供广泛而深入的攻击覆盖范围。这就意味着IPS必须能够阻拦蠕虫、病毒、木马、拒绝服务攻击、间谍软件、网络钓鱼攻击、网络应用攻击(如跨站式脚本攻击、SQL注入、PHP页面漏洞攻击)、VoIP攻击等。

  此外,过滤器应被设计成能够覆盖操作系统和应用漏洞,而不是仅仅针对几个用特定攻击签名就被轻而易举地辨认出来的已知攻击。

  5. 极高的过滤器精确性

  在关键内部和边界网络点部署IPS解决方案意味着过滤器的精确性是最为重要的,如果过滤器不精确的话,安全工作人员将会被无数报警淹没,而其中很多都会是误报。如果那样的话,自动化将会扼杀IT的生产力,因为IT工作人员的时间都被浪费在追踪误报上了,结果只会错过真正的警报。

给我留言

Copyright © 浩然东方 保留所有权利.   Theme  Ality 07032740

用户登录