六步評估IPS/IDS

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 對國內(nèi)眾多企業(yè)用戶來說，兩年來入侵檢測與防護(hù)（IDS/IPS）設(shè)備已經(jīng)脫離了原有的奢侈形象，成為了企業(yè)不可或缺的標(biāo)準(zhǔn)配置。為此，本報特別整理了企業(yè)的網(wǎng)管人員、IT 經(jīng)理及信息主管在選購此類設(shè)備時的評估標(biāo)準(zhǔn)，以饗讀者。   環(huán)境決定部署 企業(yè)部署防火墻之后，是否還需要進(jìn)一步提升安全防護(hù)能力呢？答案是肯定的。雖然，防火墻稱得上是安全防護(hù)的防線，同時部署防火墻也是對依靠互聯(lián)網(wǎng)擴展業(yè)務(wù)的企業(yè)的基本要求。但是，僅有一道防線的城池仍非固若金湯。 當(dāng)前的應(yīng)用系統(tǒng)發(fā)展與Web更加緊密，從辦公系統(tǒng)到交易系統(tǒng)，這種趨勢日益明顯。在這樣的背景下，大多數(shù)傳統(tǒng)的防火墻對于企業(yè)網(wǎng)絡(luò)的安全，已經(jīng)無法實施100%的控制，對于合法內(nèi)容中混入的可疑流量、DoS攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有效的反擊措施。 據(jù)了解，在2005年，僅拒絕服務(wù)（DoS）攻擊導(dǎo)致的平均損失就高達(dá)150萬美元，同 2004 年相比增長了五倍。 從全球的統(tǒng)計數(shù)字來看，垃圾郵件、郵件病毒、郵件攻擊已經(jīng)成為了當(dāng)前企業(yè)網(wǎng)的主要威脅，同時其影響力還在不斷擴大。特別是夾雜在“合法”郵件中的非法信息，令企業(yè)網(wǎng)絡(luò)處于危險的潛在威脅之中。 例如將木馬病毒隱藏在看似合法的SMTP郵件中，并隨時準(zhǔn)備對企業(yè)關(guān)鍵信息發(fā)起攻擊，已經(jīng)成為近期的主流。因此，各大企業(yè)都在利用入侵檢測與防護(hù)系統(tǒng)為網(wǎng)絡(luò)建構(gòu)多層防護(hù)體系，其中Juniper IDP、Radware DefensePro、McAfee IntruShield都是國內(nèi)應(yīng)用較多的產(chǎn)品。   六項準(zhǔn)則 入侵檢測與防護(hù)系統(tǒng)能夠保護(hù)企業(yè)免受重大安全威脅和經(jīng)濟(jì)損失，進(jìn)而保護(hù)企業(yè)的生存。但企業(yè)在選擇和部署網(wǎng)絡(luò)安全解決方案時，也要考慮成本效益的因素，因此找出利弊的平衡點尤為重要。 為有效評估入侵檢測與防護(hù)系統(tǒng)，可以將評估標(biāo)準(zhǔn)劃分為六個方面。   1.全面保護(hù) 對于任何安全系統(tǒng)而言，入侵檢測與防護(hù)系統(tǒng)提供的全面保護(hù)應(yīng)該能夠準(zhǔn)確識別威脅并有效保證網(wǎng)絡(luò)的安全。但是，許多產(chǎn)品在這方面先天不足。網(wǎng)絡(luò)郵件傳輸存在固有的復(fù)雜性，包括支持大量網(wǎng)絡(luò)層協(xié)議(如IP、TCP、UDP、ICMP等) 和應(yīng)用層協(xié)議(如HTTP、FTP、SMTP、DNS、POP3、IMAP等)，這些都為攻擊者提供了無數(shù)可供利用的漏洞。 Juniper的工程師認(rèn)為，除了這種固有的復(fù)雜性外，攻擊者還可以采取不同的形式和手段，并可隨意選擇攻擊時間進(jìn)行攻擊。如果系統(tǒng)不支持其中的一種協(xié)議或攻擊類型，就會忽略并遺漏這種攻擊，從而使企業(yè)網(wǎng)絡(luò)及其重要信息處于失去保護(hù)的狀態(tài)。為了對付攻擊者，安全設(shè)備必須能夠處理并有效防護(hù)所有類型郵件中潛在的攻擊。   2. 準(zhǔn)確性 準(zhǔn)確性是高品質(zhì)、高效率入侵檢測與防護(hù)系統(tǒng)的關(guān)鍵。要實現(xiàn)高度的準(zhǔn)確性，系統(tǒng)必須能夠跟蹤所有網(wǎng)絡(luò)通信、理解每個通信的意圖，然后針對攻擊企圖準(zhǔn)確地做出安全決策。如果系統(tǒng)準(zhǔn)確性不夠，就可能檢測不到攻擊，而合法郵件也可能因被視為攻擊行為而發(fā)出告警。 國內(nèi)主要安全設(shè)備的總代理商騰蒙公司指出，從國內(nèi)部署的實際情況看，遭遇攻擊檢測不出來的情況是最危險的。這意味著此時網(wǎng)絡(luò)極易受到攻擊，而且網(wǎng)管人員必須從源頭推斷發(fā)生了什么情況。 如果誤報數(shù)量令網(wǎng)管人員應(yīng)接不暇，甚至超過了實際支持能力，情況將會更加不利。因為網(wǎng)管人員不得不浪費寶貴的時間找出誤報，同時網(wǎng)管人員對系統(tǒng)的信任度也會隨之下降。因此，整套系統(tǒng)必須非?？煽浚⑶乙軌驕?zhǔn)確檢測出網(wǎng)絡(luò)中的所有攻擊。   3.郵件處理能力 高效的郵件處理能力，是入侵檢測與防護(hù)系統(tǒng)應(yīng)具備的另一要素。系統(tǒng)必須迅速處理郵件、立即做出安全決策并及時向網(wǎng)管人員提交相關(guān)信息，從而確保隨時掌握系統(tǒng)的實時狀況。防護(hù)系統(tǒng)如果動作遲緩，跟不上網(wǎng)絡(luò)通信速度，就有可能遺漏攻擊，增加企業(yè)網(wǎng)絡(luò)的危險性。 不過，Juniper的工程師強調(diào)，雖然主流的入侵檢測與防護(hù)廠家的設(shè)備可以滿足千兆網(wǎng)絡(luò)的需求，但他們還是建議企業(yè)的網(wǎng)絡(luò)管理員，為設(shè)備選擇適當(dāng)?shù)男阅芗墑e，以滿足企業(yè)的應(yīng)用特點，并確保帶寬受到最佳保護(hù)。因為這些設(shè)備需要始終保持最佳效能，以便網(wǎng)管人員在任何時間都能精確了解網(wǎng)絡(luò)中發(fā)生的情況。   4.阻止攻擊 像Juniper、Radware等廠商的工程師都認(rèn)為，入侵檢測與防護(hù)系統(tǒng)是否能有效阻止攻擊到達(dá)目的地，是對其防護(hù)能力進(jìn)行評估的基本條件。如果一個入侵檢測系統(tǒng)需要其它系統(tǒng)的配合才能阻止攻擊，那么它的作用何在？但事實是，IDS產(chǎn)品只能這樣。 IDS只能發(fā)送指令到防火墻甚至是攻擊目標(biāo)本身，讓他們終止攻擊。所有這些防護(hù)機制都是在攻擊已經(jīng)到達(dá)目標(biāo)之后才發(fā)揮作用。因此，即使這些防護(hù)機制成功檢測到了攻擊，也需要網(wǎng)管人員調(diào)查攻擊可能造成的后果，然后才能執(zhí)行阻止攻擊。 為此，這些廠家建議，如果用戶非常關(guān)注實時的安全攻擊行為，或者頻繁遭到各種攻擊，那么用戶應(yīng)直接選擇IPS設(shè)備或者結(jié)合了IPS功能的統(tǒng)一安全管理UTM設(shè)備。 從理論上說，只有這類設(shè)備能夠提供真正的安全防護(hù)：真正有效的在檢測過程主動阻止攻擊，并刪除惡意郵件。這樣可以確保攻擊永遠(yuǎn)無法得逞，從而確保企業(yè)網(wǎng)絡(luò)和關(guān)鍵信息萬無一失。   5.易用性 對于入侵檢測與防護(hù)系統(tǒng)的易用性，在NSS報告中給出的解釋是：更高水平的可控性和安全性。換句話說，如果網(wǎng)管人員能夠快速查看系統(tǒng)相關(guān)的關(guān)鍵信息并做出相應(yīng)調(diào)整，他們就能保證企業(yè)網(wǎng)絡(luò)不會受到最新威脅的攻擊，并且可以確保最新安全政策的有效執(zhí)行。 相應(yīng)的，如果設(shè)備易用性差，那么網(wǎng)管人員就不得不花費額外時間查詢信息，以便做出相關(guān)響應(yīng)。對于安全解決方案來說，除了能為最關(guān)鍵類型的事件快速提供總結(jié)報告外，還應(yīng)具備迅速追溯原始信息的能力，以便對個別事件進(jìn)行分析。 對此，騰蒙公司曾經(jīng)多次呼吁，希望這些安全大廠在新產(chǎn)品中能夠以直觀的方式為網(wǎng)管人員提供豐富的控制層，這樣做不僅可以確保系統(tǒng)滿足用戶特定的安全需求，同時還可以減少所需的時間并節(jié)省資源。   6. 安裝維護(hù)簡便 對于當(dāng)今業(yè)務(wù)機構(gòu)高度分散的企業(yè)來說，入侵檢測與防護(hù)設(shè)備需要既能輕松地安裝維護(hù)，又要節(jié)約成本。企業(yè)不可能在每次更改企業(yè)安全政策，或者是檢測到新的攻擊后，花費大量時間和資源更新企業(yè)網(wǎng)絡(luò)中的每臺設(shè)備。系統(tǒng)快速安裝并定義安全政策，以及由中央站點輕松完成全球系統(tǒng)更新，可以確保企業(yè)分散在各個地區(qū)的IT部門全面、實時地掌握系統(tǒng)和網(wǎng)絡(luò)。    入侵檢測與防護(hù)系統(tǒng)的評估 ■ 針對各類網(wǎng)絡(luò)攻擊提供全面保護(hù) ·系統(tǒng)采用何種攻擊檢測方式？ ·系統(tǒng)支持哪些網(wǎng)絡(luò)協(xié)議? ·系統(tǒng)支持哪些應(yīng)用協(xié)議？ ■ 確保高度的準(zhǔn)確性 ·系統(tǒng)采用多少種檢測機制？ ·這些檢測機制是否兼容并共享信息？ ·系統(tǒng)如何定位流量中的攻擊？ ■ 高效流量分析 ·系統(tǒng)處理流量的速度？ ·系統(tǒng)為郵件檢測提供了哪些選項？ ·系統(tǒng)如何達(dá)到最佳性能？ ■ 迅速解決事件 ·系統(tǒng)如何防止入侵者逃避系統(tǒng)檢測？ ·系統(tǒng)提供何種響應(yīng)機制？ · 針對個別攻擊，系統(tǒng)能否支持用戶定義的特定響應(yīng)？ ■ 易用性 ·網(wǎng)絡(luò)管理員如何設(shè)置檢測內(nèi)容？ ·如何更改系統(tǒng)工作模式？ · 檢查和管理安全數(shù)據(jù)記錄是否方便？(ccw)