美国《网络世界》网站对入侵防御系统(IPS) 是采用最佳的产品还是集成的解决方案展这个老问题开了争论。持最佳产品观点的人认为,安全是一个需要尽可能的最佳点的地方。但是,集成的解决方案提供商认为,日益发展的威胁需要全面的观点。这个观点要考虑更多的因素才能实现。下面是正反两方的观点。读者可以判断谁的观点正确。
观点1.需要最佳产品
Sourcefire创始人和首席技术官马丁·勒施(Martin Roesch)
Sourcefire创始人和首席技术官马丁·勒施(Martin Roesch)撰文指出,10多年以来,我们一直听说有关“X安全技术”如何消失在“Y设备”中的事情,因为购买者喜欢融合。但是,尽管有预言者的担保,有一个事实是不变的 -- 对于最佳的入侵防御系统仍有大量的和日益增长的需求。
勒施说,我还告诉你们一个秘密:你们可以在一个集成的解决方案中有最佳的入侵防御系统。然而,首先,让我们谈谈为什么最佳的入侵防御系统比仅为一个融合的解决方案的一部分开发的入侵防御系统更好。
为什么?因为最佳解决方案可提供高可靠性产品。这包括:
·保护:能够以高度的准确性检测到所有的攻击,同时让攻击很难避开检测。
·性能:认真地设计设备以便以最大的性能提供最大的能力。
·灵活性:设备把重点放在做好几件事上并且要非常灵活。一个很好的例子是我们Sourcefire公司的下一代入侵防御系统。可以肯定地说,这是同类产品中最好的可配置的解决方案。
·研究:一个专门的研究团队提供持续不断的更新(入侵探测系统/入侵防御系统、杀毒软件、安全漏洞管理等)支持这个系统。这个团队负责开发内容和实施最初的研究以便保持高级的能力。
当你查看Sourcefire提供的解决方案的时候,你能够看到所有这些起作用的概念。在最新一轮NSS测试中,可以看到Sourcefire的入侵防御系统解决方案提供最佳的检测能力、防躲避能力、安全漏洞覆盖范围以及任何入侵防御系统的性能。不仅如此,我们继续研究新的检测方法并且利用一切机会扩展基础的Snort(嗅探)引擎功能以保持我们在这个行业的领先地位。
集成的解决方案有它们工作所依据的一套不同的参数。集成的系统采用类似入侵防御系统的功能,其目标一般不是提供最佳的入侵防御系统,而是提供一个 “足够好”的功能以及其它一些核心功能并且以较低的成本提供许多功能。这个理由是,如果安全能够让人们在“一个屋檐下”轻松地获得和管理,我们将看到更多地应用扩展的功能,从而实现更好的安全。
这在逻辑上是有意义的。经验表明,你可以集成商品功能并且不牺牲太多的功能。遗憾的是,当随意通过糟糕的连接技术进行集成或者如果要求一个设备集成太多的功能的话,这个模式就垮掉了。
一般来说,一个设备的功能越多,它就需要更大的计算能力。当设备不可避免地超过负荷并且影响网络性能的时候,要解决的第一件事情就是这个解决方案提供的保护质量。用户很快失去他们购买这个解决方案的最初的理由。
统一威胁管理(UTM)工具在这方面是最糟糕的。安全领域太频繁地从“保护我们避开我们面临的危险”的模式转向“保护我们避开互联网上的10大威胁和不影响任何事情”的模式。
一些厂商试图通过制造客户化的硬件和芯片来解决这个问题。他们要以勉强接受的性能增加大量的检测功能。但是,这样做通常要付出保护质量和灵活性下降的代价。
综上所述,最佳的技术可以是一个集成的解决方案的一部分并且能够发挥很好的功能,但是,它要使用与上述完全不同的观点来建造。Sourcefire建造下一代防火墙的方法是以有效的和强有力的方法把经过证明的最佳技术集中在一起,同时不牺牲检测质量、性能或者灵活性。
我们认为,这种不牺牲产品质量的解决这个问题的方法是建造安全平台的一个新的模式。这个平台能够运行单独的最佳技术,或者作为一个集成的解决方案针对目前的威胁以后可用的最佳保护。
观点2:集成是最好的
Palo Alto Networks高级安全分析师韦德·威廉逊(Wade Williamson)
Palo Alto Networks高级安全分析师韦德·威廉逊(Wade Williamson)撰文指出,对于入侵防御系统采取集成的方法还是最佳技术的方法的争论是一个虚假的选择。目前,对于入侵防御系统采取的最佳的方法是集成的方法。威胁环境和安全行业本身都支持这个观点。
10多年来,安全行业一直试图使用一种新的专用设备解决每一个新的安全挑战。这个方法在操作上是不可行的并且最终是无效的。单独的系统造成了信息竖井,导致设备在每一个网段上蔓延,并产生管理和运营开销。
同样重要的是,随着攻击技术日益高级,单独的解决方案缺少检测和修复复杂的现代攻击所需要的重要的背景信息。
现代的IT威胁的长期发展已经超出了单独的入侵防御系统能够解决的攻击类型。现在的攻击者并不把自己限制在仅仅利用一个安全漏洞方面。相反,他们利用许多安全漏洞、恶意软件、远程接入攻击、被感染的URL以及已知的或者客户化的威胁。利用各种应用程序能够进一步d利用上述威胁。这些应用程序能够代理、秘密传送和加密威胁以避开传统的安全措施
要阻止这些类型的威胁,我们必须保证通讯本身的可见性,控制所有的各种威胁规定并且完全在相关的环境中做这个事情。单独的入侵防御系统不能做这个事情。这是所有的坚定的入侵防御系统厂商或者被大型网络安全厂商收购或者开发自己的下一代防火墙的主要原因。
威廉逊说,我可以肯定,上述说法会引起一些不满。因此,让我提供一些信息来支持这个观点。首席,目前对网络威胁的任何讨论都应该从威胁如果避开安全措施开始。一个入侵防御系统将漏掉它看不到的或者找错地方的威胁。因此,在通讯还没有达到入侵防御系统之前,这场战斗已经失败了。集成的解决方案正是在这个地方提供单独的入侵防御系统缺少的重要的环境信息和控制能力。
例如,考虑如何定期使用应用程序隐藏威胁。他们能够加密通讯、跳点端口或者在其它应用程序中建立隧道以便出现在人们意想不到的地方。考虑到入侵防御系统特征一般是根据端口应用的(例如在端口Y至端口Z使用X特征),这是很重要的。如果这个威胁出现在预料之外的端口,那么,这个特征就不会执行。
除了躲避应用程序之外,代理程序、远程桌面工具、压缩的通讯以及UltraSurf和Hamachi等专用饶过工具都能帮助攻击者避开检测。相比之下,下一代防火墙能检测所有的通讯,无论是什么端口,因此,避开端口是无效的。而且,它能不断地解码协议和应用程序,因此,通讯不能隐藏其中并且控制所有的应用程序类型。这样,想饶过检测的通讯就不允许通过网络。
对于专用的入侵防御系统来说,问题还不止是应用程序。一个现代的网络威胁将融合安全漏洞、各种类型的恶意软件以及远程网站和服务器。所有这些组件一起作为这个攻击的一个组成部分,每一个部分对于安全行业来说可能是已知的或者未知的。单独的入侵防御系统仅知道其中的部分组件(已知的安全漏洞),而漏掉其它的组件。
事实上,对于不考虑现代恶意软件的复杂性的现代“入侵防御”措施很难想象一种合理的方法。现代恶意软件通常感染代理程序和正在运行的控制机制。一个入侵防御系统可以在这里或者那里检测到奇特的病毒,但是,不能检测出对网络构成威胁的数百万恶意软件样本。一个入侵防御系统也许能检测少数已知的恶意 URL,但是,缺少数百万网站的每日更新以便跟踪已经被感染或者正在发布威胁的网站。在现代威胁防御中,关联的环境是王。单一功能的解决方案不起作用。
而且,入侵防御系统产品仅限于已知的安全漏洞。虽然所有的现代入侵防御系统解决方案都使用安全漏洞特征,但是,有些特征仍是以已知的东西为基础的。任何真正的未知的特征都会漏掉。
恶意的指挥与控制通讯定期在网络上显示为未知的通讯。未知的或者没有分类的URL可能是一个攻击的迹象,因为攻击者将迅速建立和撤销URL使他们很难被跟踪。IT需要检测未知文件中恶意行为的能力。还有许多超出入侵防御系统能力的事情。但是,这些事情对于阻止入侵者都是非常重要的。
因此,有关单独的和集成的入侵防御系统的争论基本上解决了(至少暂时是如此)。随着坏人从单个攻击的安全漏掉向多方位的和多向量的威胁发展,如果我们人为地把我们的网络安全智能和强制执行措施分割为专门的竖井,我们就会让这些坏人占优势。
