六步評(píng)估IPS/IDS

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來源：泛普軟件 對(duì)國內(nèi)眾多企業(yè)用戶來說，兩年來入侵檢測與防護(hù)（IDS/IPS）設(shè)備已經(jīng)脫離了原有的奢侈形象，成為了企業(yè)不可或缺的標(biāo)準(zhǔn)配置。為此，本報(bào)特別整理了企業(yè)的網(wǎng)管人員、IT 經(jīng)理及信息主管在選購此類設(shè)備時(shí)的評(píng)估標(biāo)準(zhǔn)，以饗讀者。   環(huán)境決定部署 企業(yè)部署防火墻之后，是否還需要進(jìn)一步提升安全防護(hù)能力呢？答案是肯定的。雖然，防火墻稱得上是安全防護(hù)的防線，同時(shí)部署防火墻也是對(duì)依靠互聯(lián)網(wǎng)擴(kuò)展業(yè)務(wù)的企業(yè)的基本要求。但是，僅有一道防線的城池仍非固若金湯。 當(dāng)前的應(yīng)用系統(tǒng)發(fā)展與Web更加緊密，從辦公系統(tǒng)到交易系統(tǒng)，這種趨勢(shì)日益明顯。在這樣的背景下，大多數(shù)傳統(tǒng)的防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的安全，已經(jīng)無法實(shí)施100%的控制，對(duì)于合法內(nèi)容中混入的可疑流量、DoS攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有效的反擊措施。 據(jù)了解，在2005年，僅拒絕服務(wù)（DoS）攻擊導(dǎo)致的平均損失就高達(dá)150萬美元，同 2004 年相比增長了五倍。 從全球的統(tǒng)計(jì)數(shù)字來看，垃圾郵件、郵件病毒、郵件攻擊已經(jīng)成為了當(dāng)前企業(yè)網(wǎng)的主要威脅，同時(shí)其影響力還在不斷擴(kuò)大。特別是夾雜在“合法”郵件中的非法信息，令企業(yè)網(wǎng)絡(luò)處于危險(xiǎn)的潛在威脅之中。 例如將木馬病毒隱藏在看似合法的SMTP郵件中，并隨時(shí)準(zhǔn)備對(duì)企業(yè)關(guān)鍵信息發(fā)起攻擊，已經(jīng)成為近期的主流。因此，各大企業(yè)都在利用入侵檢測與防護(hù)系統(tǒng)為網(wǎng)絡(luò)建構(gòu)多層防護(hù)體系，其中Juniper IDP、Radware DefensePro、McAfee IntruShield都是國內(nèi)應(yīng)用較多的產(chǎn)品。   六項(xiàng)準(zhǔn)則 入侵檢測與防護(hù)系統(tǒng)能夠保護(hù)企業(yè)免受重大安全威脅和經(jīng)濟(jì)損失，進(jìn)而保護(hù)企業(yè)的生存。但企業(yè)在選擇和部署網(wǎng)絡(luò)安全解決方案時(shí)，也要考慮成本效益的因素，因此找出利弊的平衡點(diǎn)尤為重要。 為有效評(píng)估入侵檢測與防護(hù)系統(tǒng)，可以將評(píng)估標(biāo)準(zhǔn)劃分為六個(gè)方面。   1.全面保護(hù) 對(duì)于任何安全系統(tǒng)而言，入侵檢測與防護(hù)系統(tǒng)提供的全面保護(hù)應(yīng)該能夠準(zhǔn)確識(shí)別威脅并有效保證網(wǎng)絡(luò)的安全。但是，許多產(chǎn)品在這方面先天不足。網(wǎng)絡(luò)郵件傳輸存在固有的復(fù)雜性，包括支持大量網(wǎng)絡(luò)層協(xié)議(如IP、TCP、UDP、ICMP等) 和應(yīng)用層協(xié)議(如HTTP、FTP、SMTP、DNS、POP3、IMAP等)，這些都為攻擊者提供了無數(shù)可供利用的漏洞。 Juniper的工程師認(rèn)為，除了這種固有的復(fù)雜性外，攻擊者還可以采取不同的形式和手段，并可隨意選擇攻擊時(shí)間進(jìn)行攻擊。如果系統(tǒng)不支持其中的一種協(xié)議或攻擊類型，就會(huì)忽略并遺漏這種攻擊，從而使企業(yè)網(wǎng)絡(luò)及其重要信息處于失去保護(hù)的狀態(tài)。為了對(duì)付攻擊者，安全設(shè)備必須能夠處理并有效防護(hù)所有類型郵件中潛在的攻擊。   2. 準(zhǔn)確性 準(zhǔn)確性是高品質(zhì)、高效率入侵檢測與防護(hù)系統(tǒng)的關(guān)鍵。要實(shí)現(xiàn)高度的準(zhǔn)確性，系統(tǒng)必須能夠跟蹤所有網(wǎng)絡(luò)通信、理解每個(gè)通信的意圖，然后針對(duì)攻擊企圖準(zhǔn)確地做出安全決策。如果系統(tǒng)準(zhǔn)確性不夠，就可能檢測不到攻擊，而合法郵件也可能因被視為攻擊行為而發(fā)出告警。 國內(nèi)主要安全設(shè)備的總代理商騰蒙公司指出，從國內(nèi)部署的實(shí)際情況看，遭遇攻擊檢測不出來的情況是最危險(xiǎn)的。這意味著此時(shí)網(wǎng)絡(luò)極易受到攻擊，而且網(wǎng)管人員必須從源頭推斷發(fā)生了什么情況。 如果誤報(bào)數(shù)量令網(wǎng)管人員應(yīng)接不暇，甚至超過了實(shí)際支持能力，情況將會(huì)更加不利。因?yàn)榫W(wǎng)管人員不得不浪費(fèi)寶貴的時(shí)間找出誤報(bào)，同時(shí)網(wǎng)管人員對(duì)系統(tǒng)的信任度也會(huì)隨之下降。因此，整套系統(tǒng)必須非?？煽?，并且要能夠準(zhǔn)確檢測出網(wǎng)絡(luò)中的所有攻擊。   3.郵件處理能力 高效的郵件處理能力，是入侵檢測與防護(hù)系統(tǒng)應(yīng)具備的另一要素。系統(tǒng)必須迅速處理郵件、立即做出安全決策并及時(shí)向網(wǎng)管人員提交相關(guān)信息，從而確保隨時(shí)掌握系統(tǒng)的實(shí)時(shí)狀況。防護(hù)系統(tǒng)如果動(dòng)作遲緩，跟不上網(wǎng)絡(luò)通信速度，就有可能遺漏攻擊，增加企業(yè)網(wǎng)絡(luò)的危險(xiǎn)性。 不過，Juniper的工程師強(qiáng)調(diào)，雖然主流的入侵檢測與防護(hù)廠家的設(shè)備可以滿足千兆網(wǎng)絡(luò)的需求，但他們還是建議企業(yè)的網(wǎng)絡(luò)管理員，為設(shè)備選擇適當(dāng)?shù)男阅芗?jí)別，以滿足企業(yè)的應(yīng)用特點(diǎn)，并確保帶寬受到最佳保護(hù)。因?yàn)檫@些設(shè)備需要始終保持最佳效能，以便網(wǎng)管人員在任何時(shí)間都能精確了解網(wǎng)絡(luò)中發(fā)生的情況。   4.阻止攻擊 像Juniper、Radware等廠商的工程師都認(rèn)為，入侵檢測與防護(hù)系統(tǒng)是否能有效阻止攻擊到達(dá)目的地，是對(duì)其防護(hù)能力進(jìn)行評(píng)估的基本條件。如果一個(gè)入侵檢測系統(tǒng)需要其它系統(tǒng)的配合才能阻止攻擊，那么它的作用何在？但事實(shí)是，IDS產(chǎn)品只能這樣。 IDS只能發(fā)送指令到防火墻甚至是攻擊目標(biāo)本身，讓他們終止攻擊。所有這些防護(hù)機(jī)制都是在攻擊已經(jīng)到達(dá)目標(biāo)之后才發(fā)揮作用。因此，即使這些防護(hù)機(jī)制成功檢測到了攻擊，也需要網(wǎng)管人員調(diào)查攻擊可能造成的后果，然后才能執(zhí)行阻止攻擊。 為此，這些廠家建議，如果用戶非常關(guān)注實(shí)時(shí)的安全攻擊行為，或者頻繁遭到各種攻擊，那么用戶應(yīng)直接選擇IPS設(shè)備或者結(jié)合了IPS功能的統(tǒng)一安全管理UTM設(shè)備。 從理論上說，只有這類設(shè)備能夠提供真正的安全防護(hù)：真正有效的在檢測過程主動(dòng)阻止攻擊，并刪除惡意郵件。這樣可以確保攻擊永遠(yuǎn)無法得逞，從而確保企業(yè)網(wǎng)絡(luò)和關(guān)鍵信息萬無一失。   5.易用性 對(duì)于入侵檢測與防護(hù)系統(tǒng)的易用性，在NSS報(bào)告中給出的解釋是：更高水平的可控性和安全性。換句話說，如果網(wǎng)管人員能夠快速查看系統(tǒng)相關(guān)的關(guān)鍵信息并做出相應(yīng)調(diào)整，他們就能保證企業(yè)網(wǎng)絡(luò)不會(huì)受到最新威脅的攻擊，并且可以確保最新安全政策的有效執(zhí)行。 相應(yīng)的，如果設(shè)備易用性差，那么網(wǎng)管人員就不得不花費(fèi)額外時(shí)間查詢信息，以便做出相關(guān)響應(yīng)。對(duì)于安全解決方案來說，除了能為最關(guān)鍵類型的事件快速提供總結(jié)報(bào)告外，還應(yīng)具備迅速追溯原始信息的能力，以便對(duì)個(gè)別事件進(jìn)行分析。 對(duì)此，騰蒙公司曾經(jīng)多次呼吁，希望這些安全大廠在新產(chǎn)品中能夠以直觀的方式為網(wǎng)管人員提供豐富的控制層，這樣做不僅可以確保系統(tǒng)滿足用戶特定的安全需求，同時(shí)還可以減少所需的時(shí)間并節(jié)省資源。   6. 安裝維護(hù)簡便 對(duì)于當(dāng)今業(yè)務(wù)機(jī)構(gòu)高度分散的企業(yè)來說，入侵檢測與防護(hù)設(shè)備需要既能輕松地安裝維護(hù)，又要節(jié)約成本。企業(yè)不可能在每次更改企業(yè)安全政策，或者是檢測到新的攻擊后，花費(fèi)大量時(shí)間和資源更新企業(yè)網(wǎng)絡(luò)中的每臺(tái)設(shè)備。系統(tǒng)快速安裝并定義安全政策，以及由中央站點(diǎn)輕松完成全球系統(tǒng)更新，可以確保企業(yè)分散在各個(gè)地區(qū)的IT部門全面、實(shí)時(shí)地掌握系統(tǒng)和網(wǎng)絡(luò)。    入侵檢測與防護(hù)系統(tǒng)的評(píng)估 ■ 針對(duì)各類網(wǎng)絡(luò)攻擊提供全面保護(hù) ·系統(tǒng)采用何種攻擊檢測方式？ ·系統(tǒng)支持哪些網(wǎng)絡(luò)協(xié)議? ·系統(tǒng)支持哪些應(yīng)用協(xié)議？ ■ 確保高度的準(zhǔn)確性 ·系統(tǒng)采用多少種檢測機(jī)制？ ·這些檢測機(jī)制是否兼容并共享信息？ ·系統(tǒng)如何定位流量中的攻擊？ ■ 高效流量分析 ·系統(tǒng)處理流量的速度？ ·系統(tǒng)為郵件檢測提供了哪些選項(xiàng)？ ·系統(tǒng)如何達(dá)到最佳性能？ ■ 迅速解決事件 ·系統(tǒng)如何防止入侵者逃避系統(tǒng)檢測？ ·系統(tǒng)提供何種響應(yīng)機(jī)制？ · 針對(duì)個(gè)別攻擊，系統(tǒng)能否支持用戶定義的特定響應(yīng)？ ■ 易用性 ·網(wǎng)絡(luò)管理員如何設(shè)置檢測內(nèi)容？ ·如何更改系統(tǒng)工作模式？ · 檢查和管理安全數(shù)據(jù)記錄是否方便？(ccw)