六步評估IPS/IDS

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 對國內眾多企業(yè)用戶來說，兩年來入侵檢測與防護（IDS/IPS）設備已經脫離了原有的奢侈形象，成為了企業(yè)不可或缺的標準配置。為此，本報特別整理了企業(yè)的網管人員、IT 經理及信息主管在選購此類設備時的評估標準，以饗讀者。   環(huán)境決定部署 企業(yè)部署防火墻之后，是否還需要進一步提升安全防護能力呢？答案是肯定的。雖然，防火墻稱得上是安全防護的防線，同時部署防火墻也是對依靠互聯(lián)網擴展業(yè)務的企業(yè)的基本要求。但是，僅有一道防線的城池仍非固若金湯。 當前的應用系統(tǒng)發(fā)展與Web更加緊密，從辦公系統(tǒng)到交易系統(tǒng)，這種趨勢日益明顯。在這樣的背景下，大多數(shù)傳統(tǒng)的防火墻對于企業(yè)網絡的安全，已經無法實施100%的控制，對于合法內容中混入的可疑流量、DoS攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有效的反擊措施。 據了解，在2005年，僅拒絕服務（DoS）攻擊導致的平均損失就高達150萬美元，同 2004 年相比增長了五倍。 從全球的統(tǒng)計數(shù)字來看，垃圾郵件、郵件病毒、郵件攻擊已經成為了當前企業(yè)網的主要威脅，同時其影響力還在不斷擴大。特別是夾雜在“合法”郵件中的非法信息，令企業(yè)網絡處于危險的潛在威脅之中。 例如將木馬病毒隱藏在看似合法的SMTP郵件中，并隨時準備對企業(yè)關鍵信息發(fā)起攻擊，已經成為近期的主流。因此，各大企業(yè)都在利用入侵檢測與防護系統(tǒng)為網絡建構多層防護體系，其中Juniper IDP、Radware DefensePro、McAfee IntruShield都是國內應用較多的產品。   六項準則 入侵檢測與防護系統(tǒng)能夠保護企業(yè)免受重大安全威脅和經濟損失，進而保護企業(yè)的生存。但企業(yè)在選擇和部署網絡安全解決方案時，也要考慮成本效益的因素，因此找出利弊的平衡點尤為重要。 為有效評估入侵檢測與防護系統(tǒng)，可以將評估標準劃分為六個方面。   1.全面保護 對于任何安全系統(tǒng)而言，入侵檢測與防護系統(tǒng)提供的全面保護應該能夠準確識別威脅并有效保證網絡的安全。但是，許多產品在這方面先天不足。網絡郵件傳輸存在固有的復雜性，包括支持大量網絡層協(xié)議(如IP、TCP、UDP、ICMP等) 和應用層協(xié)議(如HTTP、FTP、SMTP、DNS、POP3、IMAP等)，這些都為攻擊者提供了無數(shù)可供利用的漏洞。 Juniper的工程師認為，除了這種固有的復雜性外，攻擊者還可以采取不同的形式和手段，并可隨意選擇攻擊時間進行攻擊。如果系統(tǒng)不支持其中的一種協(xié)議或攻擊類型，就會忽略并遺漏這種攻擊，從而使企業(yè)網絡及其重要信息處于失去保護的狀態(tài)。為了對付攻擊者，安全設備必須能夠處理并有效防護所有類型郵件中潛在的攻擊。   2. 準確性 準確性是高品質、高效率入侵檢測與防護系統(tǒng)的關鍵。要實現(xiàn)高度的準確性，系統(tǒng)必須能夠跟蹤所有網絡通信、理解每個通信的意圖，然后針對攻擊企圖準確地做出安全決策。如果系統(tǒng)準確性不夠，就可能檢測不到攻擊，而合法郵件也可能因被視為攻擊行為而發(fā)出告警。 國內主要安全設備的總代理商騰蒙公司指出，從國內部署的實際情況看，遭遇攻擊檢測不出來的情況是最危險的。這意味著此時網絡極易受到攻擊，而且網管人員必須從源頭推斷發(fā)生了什么情況。 如果誤報數(shù)量令網管人員應接不暇，甚至超過了實際支持能力，情況將會更加不利。因為網管人員不得不浪費寶貴的時間找出誤報，同時網管人員對系統(tǒng)的信任度也會隨之下降。因此，整套系統(tǒng)必須非?？煽浚⑶乙軌驕蚀_檢測出網絡中的所有攻擊。   3.郵件處理能力 高效的郵件處理能力，是入侵檢測與防護系統(tǒng)應具備的另一要素。系統(tǒng)必須迅速處理郵件、立即做出安全決策并及時向網管人員提交相關信息，從而確保隨時掌握系統(tǒng)的實時狀況。防護系統(tǒng)如果動作遲緩，跟不上網絡通信速度，就有可能遺漏攻擊，增加企業(yè)網絡的危險性。 不過，Juniper的工程師強調，雖然主流的入侵檢測與防護廠家的設備可以滿足千兆網絡的需求，但他們還是建議企業(yè)的網絡管理員，為設備選擇適當?shù)男阅芗墑e，以滿足企業(yè)的應用特點，并確保帶寬受到最佳保護。因為這些設備需要始終保持最佳效能，以便網管人員在任何時間都能精確了解網絡中發(fā)生的情況。   4.阻止攻擊 像Juniper、Radware等廠商的工程師都認為，入侵檢測與防護系統(tǒng)是否能有效阻止攻擊到達目的地，是對其防護能力進行評估的基本條件。如果一個入侵檢測系統(tǒng)需要其它系統(tǒng)的配合才能阻止攻擊，那么它的作用何在？但事實是，IDS產品只能這樣。 IDS只能發(fā)送指令到防火墻甚至是攻擊目標本身，讓他們終止攻擊。所有這些防護機制都是在攻擊已經到達目標之后才發(fā)揮作用。因此，即使這些防護機制成功檢測到了攻擊，也需要網管人員調查攻擊可能造成的后果，然后才能執(zhí)行阻止攻擊。 為此，這些廠家建議，如果用戶非常關注實時的安全攻擊行為，或者頻繁遭到各種攻擊，那么用戶應直接選擇IPS設備或者結合了IPS功能的統(tǒng)一安全管理UTM設備。 從理論上說，只有這類設備能夠提供真正的安全防護：真正有效的在檢測過程主動阻止攻擊，并刪除惡意郵件。這樣可以確保攻擊永遠無法得逞，從而確保企業(yè)網絡和關鍵信息萬無一失。   5.易用性 對于入侵檢測與防護系統(tǒng)的易用性，在NSS報告中給出的解釋是：更高水平的可控性和安全性。換句話說，如果網管人員能夠快速查看系統(tǒng)相關的關鍵信息并做出相應調整，他們就能保證企業(yè)網絡不會受到最新威脅的攻擊，并且可以確保最新安全政策的有效執(zhí)行。 相應的，如果設備易用性差，那么網管人員就不得不花費額外時間查詢信息，以便做出相關響應。對于安全解決方案來說，除了能為最關鍵類型的事件快速提供總結報告外，還應具備迅速追溯原始信息的能力，以便對個別事件進行分析。 對此，騰蒙公司曾經多次呼吁，希望這些安全大廠在新產品中能夠以直觀的方式為網管人員提供豐富的控制層，這樣做不僅可以確保系統(tǒng)滿足用戶特定的安全需求，同時還可以減少所需的時間并節(jié)省資源。   6. 安裝維護簡便 對于當今業(yè)務機構高度分散的企業(yè)來說，入侵檢測與防護設備需要既能輕松地安裝維護，又要節(jié)約成本。企業(yè)不可能在每次更改企業(yè)安全政策，或者是檢測到新的攻擊后，花費大量時間和資源更新企業(yè)網絡中的每臺設備。系統(tǒng)快速安裝并定義安全政策，以及由中央站點輕松完成全球系統(tǒng)更新，可以確保企業(yè)分散在各個地區(qū)的IT部門全面、實時地掌握系統(tǒng)和網絡。    入侵檢測與防護系統(tǒng)的評估 ■ 針對各類網絡攻擊提供全面保護 ·系統(tǒng)采用何種攻擊檢測方式？ ·系統(tǒng)支持哪些網絡協(xié)議? ·系統(tǒng)支持哪些應用協(xié)議？ ■ 確保高度的準確性 ·系統(tǒng)采用多少種檢測機制？ ·這些檢測機制是否兼容并共享信息？ ·系統(tǒng)如何定位流量中的攻擊？ ■ 高效流量分析 ·系統(tǒng)處理流量的速度？ ·系統(tǒng)為郵件檢測提供了哪些選項？ ·系統(tǒng)如何達到最佳性能？ ■ 迅速解決事件 ·系統(tǒng)如何防止入侵者逃避系統(tǒng)檢測？ ·系統(tǒng)提供何種響應機制？ · 針對個別攻擊，系統(tǒng)能否支持用戶定義的特定響應？ ■ 易用性 ·網絡管理員如何設置檢測內容？ ·如何更改系統(tǒng)工作模式？ · 檢查和管理安全數(shù)據記錄是否方便？(ccw)