入侵防御设备的功能仍未得到全面应用

作者:Amteam.org
2009/2/10 0:34:00
本文关键字: 网络 安全 入侵检测

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性、吞吐率、流量延迟和误报率。

基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击;不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统。

Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用;如果没有真正得到使用,查明其中的原因。IPS厂商TippingPoint委托这家研究公司进行的这项调查涉及TippingPoint的产品,另外还涉及思科、IBM、McAfee和Sourcefire这些厂商的同类产品。

Infonetics公司的网络安全首席分析师杰夫·威尔逊(Jeff Wilson)说:“人们对IPS的态度还是非常谨慎。这项调查给我的印象主要是,我们还没有进入纯IPS的时代,尽管大家都喜欢声称我们进入了这样一个时代。”

思科是IPS领域的主导厂商,这项调查体现了这一点;调查对象当中有77个思科IPS客户、38个TippingPoint客户、36个IBM ISS Proventia客户、26个McAfeeIPS客户以及15个Sourcefire IPS客户――他们都详细描述了如何在所在公司使用IPS。每家公司的平均规模是拥有9418名员工。

IPS的第一步通常是决定要不要在带内使用;Infonetics公司发现,带内使用IPS的TippingPoint客户有91%、思科客户有70%、IBM和McAfee客户各有67%,Sourcefire客户大约有55%。

提到不想在带内使用IPS设备的几个原因包括可靠性、吞吐率、流量延迟和误报率。

对于那些在带内使用IPS设备的客户来说,下一步就是确定IPS设备的可用过滤器当中有多少可以激活,以便阻止不同类型的攻击流量。调查发现,那些在带内使用IPS设备的客户常常并没有让所有过滤器工作在阻止模式下,而是有时候只是工作在警报模式下。工作在阻止模式下的IPS过滤器在TippingPoint和IBM设备中的情况要多得多,而在Sourcefire设备中的情况少得多。在IBM、思科和McAfee的设备中,在混合模式下阻止和纯警报功能被激活的情况是各一半。

据调查显示,厂商们提供的过滤器更新库(filter updates)只是在40%到74%的时间得到了使用,时间长短视产品而定。

至于为什么客户们不愿意使用新的过滤器,已见过调查结果的独立分析师理查德·斯蒂农(Richard Stiennon)表示,IPS客户通常在部署过滤器更新库之前,先在实验环境下进行分析。有时候,过滤器特征会“破坏应用程序或者阻止协议”,斯蒂农说。“所以有时候它们未得到部署。”

五年前斯蒂农还是Gartner公司的分析师时,就宣布IDS已“死亡”,曾在当时引起了一番争议。现在他表示,Infornetics公司的这项调查给他带来了再次激起批评人士大加挞伐的刺激因素。

斯蒂农说:“IDS会死亡,因为它仍是一项失败的技术。”他表达了这种观点:只是单单把有关攻击的警报记入日志几乎总是一项平淡无奇的操作。“IPS设备在阻止攻击方面应当有更大的作为。”

他还表示,TippingPoint设备当初是有意设计成一款嵌入式IPS设备的,而思科设备却不是。Infonetics公司的杰夫·威尔逊也认为,思科IPS不是设计成可以在带内使用;尽管思科是IPS领域的市场领头羊,但思科“其平台用作一款阻止攻击流量的真正IPS的总体使用率最低。”

虽然Gartner的分析师约翰·佩斯卡托(John Pescatore)还没见过Infonetics的调查结果,不过他说,Gartner自己针对其客户开展的调查表明,用户获得信心从而把IPS用在嵌入式阻止模式下,可能需要相当长一段时间,甚至长达一年。

佩斯卡托问道:“为什么不完全在这种模式下启用?因为设备会出现性能问题,它们的速度会慢下来,或者可能阻止合法流量。”他表示,还存在IPS吞吐率性能方面的严重问题,而IPS行业需要解决这些问题。

责编:
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map