對于那些考慮使用入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)的企業(yè)來說,最困難的一個任務(wù)就是要確定什么時候需要這些技術(shù),以及它們能夠做什么。市面上的產(chǎn)品種類繁多:如防火墻、應(yīng)用程序防火墻、統(tǒng)一威脅管理(UTM)設(shè)備、異常監(jiān)測和入侵防護等,企業(yè)很難從中做出選擇,也很難確定哪些產(chǎn)品是最適合自己的。
有的企業(yè)可能還在研究是否可以用IPS代替IDS,或者是否有必要同時使用這兩種產(chǎn)品進行全方位的保護。分層的安全和不正確的操作之間通常存在著明顯的界限。在本文中我們會對IDS和IPS進行一次對比,其中包括:兩種技術(shù)能夠提供的基本功能以及保護類型、兩種技術(shù)在實際應(yīng)用中的區(qū)別以及這兩種技術(shù)的幾個常用實例。
IDS vs.IPS:保護范圍
對于不太熟悉IDS的人來說,IDS是一種監(jiān)視未授權(quán)或者惡意網(wǎng)絡(luò)活動的軟件或者設(shè)備。IDS使用預(yù)先設(shè)定的規(guī)則,檢查網(wǎng)絡(luò)端點配置,確定它們是否容易受到攻擊(這叫做基于主機的IDS);它還可以記錄網(wǎng)絡(luò)中的活動,并與已知的攻擊或者攻擊類型進行對比(這叫做基于網(wǎng)絡(luò)的IDS)。該技術(shù)已經(jīng)存在很多年了,而且里面添加了各種附加功能,其中包括高級簽名。而且,免費的開源IDS產(chǎn)品(比如Snort 和OSSEC)也很受歡迎。
反之,IPS不僅能夠監(jiān)測由惡意代碼、僵尸網(wǎng)絡(luò)、病毒以及有針對性的攻擊引起的不良數(shù)據(jù)包,還能夠在破壞發(fā)生之前采取行動,從而保護網(wǎng)絡(luò)。你可能認(rèn)為你的網(wǎng)絡(luò)不值得黑客去攻擊,但是你要知道許多犯罪分子會使用自動掃描來探測互聯(lián)網(wǎng),對每個網(wǎng)絡(luò)都進行探測,以便記錄漏洞,供日后使用。這些攻擊者可能在尋找特定的敏感數(shù)據(jù)或知識產(chǎn)權(quán),或者對任何到手的東西都感興趣,比如說員工信息、財務(wù)記錄或者客戶數(shù)據(jù)等。
在基礎(chǔ)設(shè)施中的惡意軟件引起破壞之前,性能良好的IDS或者IPS就能夠有效地識別它們。比如,我們假設(shè)攻擊者試圖在你的網(wǎng)絡(luò)中偷偷放入一個木馬。該惡意代碼可能已經(jīng)將木馬放入,并可能在靜靜地等待時機。這是開始的狀態(tài),激活后它會變成嚴(yán)重威脅。如果裝有合適的入侵檢測系統(tǒng),當(dāng)攻擊者試圖激活該惡意代碼時,IDS或者IPS就會識別這種活動并立即采取措施,要么報警,要么進行防御。
不過,那些用來監(jiān)測普通網(wǎng)絡(luò)的傳統(tǒng)防火墻很有可能對這種攻擊一無所知。如果此類攻擊附著在看起來正常的網(wǎng)絡(luò)流量中,也有可能避開異常監(jiān)測引擎。這些技術(shù)和入侵檢測與防御系統(tǒng)的區(qū)別在于IDS/IPS可以進行更深層次的包監(jiān)測,不僅分析數(shù)據(jù)包的來源和去向,而且還能分析它的內(nèi)容,以此確定它們是否在對系統(tǒng)發(fā)起攻擊。這些數(shù)據(jù)是決定包的特性是否與未授權(quán)或者惡意行動相對應(yīng)的關(guān)鍵,這種情況可能是攻擊的前兆。當(dāng)攻擊者采用畸形的或者老式數(shù)據(jù)包來偽裝一次攻擊時,IDS/IPS技術(shù)能夠更加智能地處理危險的攻擊內(nèi)容。
IDS vs.IPS: 兩種技術(shù)的區(qū)別
行業(yè)中人們對此有幾種觀點:有人認(rèn)為IDS和IPS是獨立的、可持續(xù)的技術(shù);有人認(rèn)為IDS是一種逐漸過時的技術(shù),應(yīng)該被IPS替代。在對IDS和IPS進行比較時,我更傾向于前者;IDS系統(tǒng)有許多具體的使用案例,比如,當(dāng)信息安全人員需要識別攻擊或者漏洞,而不需要采取任何措施的時候。這種檢測最明顯的使用案例包括:不需要停止攻擊(收集數(shù)據(jù)或者監(jiān)視蜜罐)的情況;安全團隊沒有權(quán)限去停止攻擊(如果所觀察的網(wǎng)絡(luò)不是我們的)的情況;還有當(dāng)我們想要監(jiān)測日志,需要跨越安全來進行的情況。舉個很好的例子:沒有足夠資金支付與主要生產(chǎn)合作伙伴的服務(wù)器連接的制造企業(yè)。在這種情況下,企業(yè)可以決定犧牲即時安全(immediate security)來獲取持續(xù)的商業(yè)運作。類似的,IPS最適用于需要監(jiān)測并阻止或防御攻擊的企業(yè),因為安全是這些企業(yè)最重要的東西,企業(yè)需要積極主動地保護重要資產(chǎn);而IDS只能顯示出攻擊的存在,阻止入侵則是管理員的事情。
我們來看以下幾種情況,來了解IDS和IPS是如何處理它們的。
處理已知的漏洞
應(yīng)用程序和主機類型眾多的企業(yè)可能會發(fā)現(xiàn),將預(yù)定義和自定義規(guī)則結(jié)合起來,也是一個處理應(yīng)用程序或者業(yè)務(wù)過程缺陷的權(quán)宜之計。如果企業(yè)不中斷其他的主機功能,就不能為某個系統(tǒng)打補丁,那么IPS可能是下一步最好的選擇,因為適當(dāng)?shù)腎PS規(guī)則可以在入侵到達(dá)服務(wù)器之前就對已知漏洞進行防護。
IDS和IPS能夠模擬主機響應(yīng),這讓它們可以發(fā)現(xiàn)、阻止或者警告對受保護的服務(wù)器有負(fù)面作用或者去破解數(shù)據(jù)的攻擊。這些措施可以用在網(wǎng)絡(luò)之間的網(wǎng)關(guān)上(很像防火墻),或者用在處于受保護資源之前的內(nèi)部基礎(chǔ)設(shè)施中。在保護Web服務(wù)器或者其他能夠訪問互聯(lián)網(wǎng)的應(yīng)用程序或者設(shè)備不受外部攻擊時,我們推薦使用網(wǎng)關(guān)或者面向外界的方法;而在保護特定的高價值資產(chǎn)時,我們推薦使用內(nèi)部保護,比如有些惡意軟件會從可信端點攻擊任務(wù)優(yōu)先的應(yīng)用程序服務(wù)器,有時甚至還可能會存在內(nèi)部攻擊等。
相關(guān)數(shù)據(jù)
受歡迎的IDS和IPS設(shè)備提供非常全面的日志記錄和數(shù)據(jù)收集功能。即便沒有任何行動的警報,系統(tǒng)在受到攻擊之后,從這些設(shè)備和傳感器中收集到的數(shù)據(jù)也可用于事件關(guān)聯(lián)(event correlation)和網(wǎng)絡(luò)取證。比如,如果發(fā)現(xiàn)一些關(guān)鍵的生產(chǎn)服務(wù)器被入侵或者受到攻擊,擁有IDS和IPS的企業(yè)在試圖分離出導(dǎo)致這次入侵的事件時會有相當(dāng)大的優(yōu)勢。這種數(shù)據(jù)在攻擊期間和攻擊之后都是分析的關(guān)鍵,而且對企業(yè)的事件響應(yīng)和規(guī)則遵從審計會有所幫助。
結(jié)論
入侵檢測系統(tǒng)像其他事物一樣,都是服務(wù)于業(yè)務(wù)宗旨或者滿足一個目標(biāo)。這些僅僅是最常見的IDS和IPS使用案例,本文只是提供了最基本的東西,便于大家理解這種技術(shù)是否滿足企業(yè)要求。如果你的環(huán)境中有重要系統(tǒng)、秘密數(shù)據(jù)或者必須遵守嚴(yán)格的規(guī)則遵從,那么我推薦使用IDS、IPS或者兩者一起。回顧上述使用案例,你可以判定你的企業(yè)是否會從入侵防護系統(tǒng)中受益。
作者:Jennifer Jabbusch
原文鏈接:http://netsecurity.51cto.com/art/201012/238182.htm
