扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:赛迪网 2007年10月19日
关键字:
在本页阅读全文(共3页)
消除误报
虽然结合多种检测方法增加了IDS和IPS所能检测的攻击的数量和类型,但误报仍把厂商搞得焦头烂额。用户对IDS意见最大的就是误报。因担心IPS可能会封阻合法流量,这也阻碍了人们采用IPS产品。
目前普遍认为,消除误报的最佳办法就是借助上下文。也就是说,如果系统完全了解网络环境,引发的误报就会减少。
许多客户着眼于这种上下文转而求助于安全管理服务,安全管理服务提供商Guardent的CTO杰里·布拉迪说:“我们认为许多检测器的准确性和性能没有重大区别,无论ISS、Enterasys、Snort还是其他,重要的是能够把防火墙日志、IDS数据、应用日志和脆弱性评估的内容联系起来,对当前状况及如何响应做出合理的评论。”他特别指出,对攻击后的恢复、解决导致攻击得逞的基本缺陷来说,这种详细了解网络环境的能力极为重要。
不过,产品厂商也在部署使管理员可以收集并利用上下文信息的技术,以提高IDS的效果。思科声称,新的思科威胁响应(CTR)技术最多可以消除95%的误报。CTR是2002年10月思科从Psionic软件公司收购而来的,该软件放在IDS检测器和IDS管理控制台间的专用服务器上。如果检测器引发警报,CTR就会扫描目标主机,看看引发警报的攻击是否真的会造成影响。
比如说,倘若检测器检测到某台服务器受到了红色代码引起的缓冲器溢出攻击,CTR就会扫描该服务器,但如果目标主机是Linux服务器,CTR就会制止警报。这次活动会记录在IDS日志文件当中,但警报不会发给控制台。
思科称,可以配置CTR扫描功能以求简单、快速的分析,比如搜寻开放的端口、鉴别操作系统,或者寻找有效服务。CTR还可以进一步扫描注册表设置、事件日志和补丁状况,查明目标主机是否很脆弱。如果CTR查明目标很脆弱,或者攻击已得逞,就会重视该事件,将其列为控制台的重点监控对象。
如果这项技术取得成功,CTR可能会运用到在线安装的防御系统(IPS)中。思科称,一旦对检测功能的准确性觉得满意,公司就会推出此类防御系统。
慎重购买
说到投资购买,你会选购IDS还是IPS?在做出决定前,请考虑以下事项。
Guardent的布拉迪说:“我的确认为厂商的说法不切实际,这是受IDS影响的缘故。如果IPS设备做出错误决定,从而丢弃了正常流量,后果会相当严重。”
他强调,虽然IPS也许完全有可能阻止同类型的大规模攻击,但就防御针对单个目标的攻击者而言,效果估计不会那么明显。在铁了心的且知道自己在做什么的攻击者面前,自动防御无能为力。
布拉迪又说:“如果你关心的是入侵,自然会考虑IPS的阻断模式。如果你关心的是内含信用卡号码的数据库的安全问题,应该考虑如何对数据加密和加密数据的存储问题,而不是考虑在访问者与数据库之间放一个盒子的问题。”
客户应评估利用IPS能预防哪些风险,同时也要评估部署这种可能干扰网络正常运行的技术所带来的风险。别指望这种在线安装的防御系统会发挥神奇的功效,因为,没有哪一种防御设备会智能到知道某一Oracle数据库应用的各种变化的地步。也许它能发现缓冲区溢出攻击,但它并不能知道有人往某个账户中注入了大笔资金。
决定是否采用IPS之前,问一下自己是否设置了防火墙。如果不知道允许或禁止哪些流量进出网络,因而没有设置防火墙,就不要部署这种在线封阻的设备。如果你知道网段有哪些协议,而且对网络状况心里一清二楚,那么试用这种技术也无妨。但如果你不知道流量情况,还是先采用传统的IDS为好。
不过,一些厂商却称用户没必要在两者之间做惟一性选择。IntruVert的丁格拉说:“现在有种误解,以为IDS和IPS是两种不同产品,其实,行业只有一种产品——检测准确性高又能封阻攻击的产品。”
未来趋势
客户是否真正需要IDS具有防御功能呢?Infonetcis的威尔逊认为,绝对需要。据客户调查表明,客户首先要求IDS具备的特性就是阻断攻击的功能。威尔逊估计IDS市场在今后几年会急剧发展。据他的调查表明,IDS收入在去年第四季度超过1亿美元,预计到2006年,年收入有望达到16亿美元。
威尔逊说,不过,推动市场发展的是具有攻击阻断功能的产品。不管乐意不乐意,IPS已经被普遍接受。但这是否意味着传统的IDS会销声匿迹呢?他说,未必如此。
威尔逊说:“某些情况下,你可能不想拒绝流量,但仍想知道流量状况。你可以提高防御系统的智能程度,但有些客户希望通过人来监控事件,以决定采取相应的措施。检测技术在市场总是有一席之地,但是,如果只注重检测,恐怕不会有前途。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。