曾幾何時(shí),入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)被視為解決企業(yè)中檢測(cè)攻擊的常用辦法。最近,IDS/IPS技術(shù)被抱怨為過(guò)時(shí)無(wú)用的技術(shù)。而真相其實(shí)介于這兩種極端觀點(diǎn)之間。事實(shí)上,IDS/IPS技術(shù)和其他類型的企業(yè)安全控件一起組成了全面檢測(cè)攻擊和漏洞系統(tǒng)的要素。
IDS/IPS技術(shù)現(xiàn)在的發(fā)展速度已經(jīng)不及10年或15年前,仍然有很多針對(duì)這些技術(shù)的創(chuàng)新和改變可以改進(jìn)其檢測(cè)功能。這些技巧可以帶你了解最新的創(chuàng)新,技術(shù)特性和其他值得注意的改變。
聲譽(yù)服務(wù)
許多網(wǎng)絡(luò)型和托管型IDS和IPS產(chǎn)品最近都增加了聲譽(yù)服務(wù)。這些服務(wù)已經(jīng)被其他類型的安全控件使用多年。聲譽(yù)服務(wù)會(huì)收集域名,IP地址,應(yīng)用協(xié)議,地理位置等要素的惡意屬性。IDS/IPS系統(tǒng)隨后會(huì)使用這些信息來(lái)確認(rèn)用戶的某項(xiàng)操作是否存在惡意。
這一信息對(duì)于優(yōu)先IDS/IPS驗(yàn)證警告是特別有價(jià)值的。例如,一個(gè)IDS/IPS傳感器或許會(huì)在用戶進(jìn)行各種非常規(guī)操作時(shí)發(fā)出警告,但是從這類IP地址的其他惡意操作歷史記錄如果可以證明該操作沒(méi)有惡意,那么其優(yōu)先級(jí)別就可能被提升。
無(wú)線IDS/IPS改進(jìn)
無(wú)線IDS/IPS技術(shù)比其他形式的IDS/IPS技術(shù)要新,且隨著無(wú)線技術(shù)的不斷發(fā)展,無(wú)線IDS/IPS技術(shù)也在不斷擴(kuò)展。例如,無(wú)線IDS/IPS技術(shù)從IEEE 802.11n標(biāo)準(zhǔn)確定以來(lái),就為這類傳輸提供支持。
企業(yè)使用無(wú)線IDS/IPS是一個(gè)很好的選擇。如果企業(yè)支持無(wú)線,包括BYOD,那么更加需要監(jiān)控員工操作以避免錯(cuò)誤配置和攻擊。如果企業(yè)不允許使用無(wú)線,無(wú)線IDS./IPS仍然可以檢測(cè)到未授權(quán)的使用,甚至是幫助企業(yè)定位出正在進(jìn)行的無(wú)線傳輸源自哪里。
SSL加密傳輸?shù)脑诰€檢測(cè)
隨著HTTPS和其他加密協(xié)議的增加,網(wǎng)絡(luò)IDS/IPS傳感器在檢測(cè)網(wǎng)絡(luò)流量方面的效率已經(jīng)降低。盡管如此,少數(shù)網(wǎng)絡(luò)IDS/IPS產(chǎn)品最近也增加了在線檢測(cè)SSL加密數(shù)據(jù)的功能。這些產(chǎn)品基本上是起著代理的作用,創(chuàng)建兩個(gè)SSL鏈接:一個(gè)從端口A發(fā)往IDS/IPS傳感器,另一個(gè)從IDS/IPS傳感器發(fā)往端口B,而不是讓單獨(dú)的SSL連接以加密形式從端口A發(fā)往端口B。本質(zhì)上,這種設(shè)備可以解密,檢測(cè),然后對(duì)一個(gè)加密過(guò)的數(shù)據(jù)包進(jìn)行再次加密,且不會(huì)影響傳輸速度。不過(guò),它還是會(huì)將代理插入連接中,此代理有自己的安全和信任指示。企業(yè)或許更愿意使用托管型IDS/IPS而不是網(wǎng)絡(luò)型IDS/IPS來(lái)檢測(cè)SSL加密數(shù)據(jù)。
在虛擬環(huán)境中使用IDS/IPS
云計(jì)算的興起對(duì)云安全提出了特定的需求。幸好,hypervisor(虛擬機(jī)管理器)為不同虛擬場(chǎng)景之間的網(wǎng)絡(luò)行為監(jiān)控提供了理想的場(chǎng)所。有些Hypervisor還自主提供入侵檢測(cè)技術(shù),而另外一些則會(huì)把內(nèi)部檢測(cè)收集的信息傳送給外部安全控件,如標(biāo)準(zhǔn)的托管型IDS/IPS,用于檢測(cè)和警告。企業(yè)應(yīng)該確保當(dāng)虛擬場(chǎng)景從一個(gè)云服務(wù)器轉(zhuǎn)移到另一個(gè)云服務(wù)器時(shí),其安全策略(包括IDS/IPS配置)也隨著轉(zhuǎn)移。
