入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性、吞吐率、流量延迟和误报率。
基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击;不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统。
Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用;如果没有真正得到使用,查明其中的原因。IPS厂商TippingPoint委托这家研究公司进行的这项调查涉及TippingPoint的产品,另外还涉及思科、IBM、McAfee和Sourcefire这些厂商的同类产品。
Infonetics公司的网络安全首席分析师杰夫·威尔逊(Jeff Wilson)说:“人们对IPS的态度还是非常谨慎。这项调查给我的印象主要是,我们还没有进入纯IPS的时代,尽管大家都喜欢声称我们进入了这样一个时代。”
思科是IPS领域的主导厂商,这项调查体现了这一点;调查对象当中有77个思科IPS客户、38个TippingPoint客户、36个IBM ISS Proventia客户、26个McAfeeIPS客户以及15个Sourcefire IPS客户――他们都详细描述了如何在所在公司使用IPS。每家公司的平均规模是拥有9418名员工。
IPS的第一步通常是决定要不要在带内使用;Infonetics公司发现,带内使用IPS的TippingPoint客户有91%、思科客户有70%、IBM和McAfee客户各有67%,Sourcefire客户大约有55%。
提到不想在带内使用IPS设备的几个原因包括可靠性、吞吐率、流量延迟和误报率。
对于那些在带内使用IPS设备的客户来说,下一步就是确定IPS设备的可用过滤器当中有多少可以激活,以便阻止不同类型的攻击流量。调查发现,那些在带内使用IPS设备的客户常常并没有让所有过滤器工作在阻止模式下,而是有时候只是工作在警报模式下。工作在阻止模式下的IPS过滤器在TippingPoint和IBM设备中的情况要多得多,而在Sourcefire设备中的情况少得多。在IBM、思科和McAfee的设备中,在混合模式下阻止和纯警报功能被激活的情况是各一半。
据调查显示,厂商们提供的过滤器更新库(filter updates)只是在40%到74%的时间得到了使用,时间长短视产品而定。
至于为什么客户们不愿意使用新的过滤器,已见过调查结果的独立分析师理查德·斯蒂农(Richard Stiennon)表示,IPS客户通常在部署过滤器更新库之前,先在实验环境下进行分析。有时候,过滤器特征会“破坏应用程序或者阻止协议”,斯蒂农说。“所以有时候它们未得到部署。”
五年前斯蒂农还是Gartner公司的分析师时,就宣布IDS已“死亡”,曾在当时引起了一番争议。现在他表示,Infornetics公司的这项调查给他带来了再次激起批评人士大加挞伐的刺激因素。
斯蒂农说:“IDS会死亡,因为它仍是一项失败的技术。”他表达了这种观点:只是单单把有关攻击的警报记入日志几乎总是一项平淡无奇的操作。“IPS设备在阻止攻击方面应当有更大的作为。”
他还表示,TippingPoint设备当初是有意设计成一款嵌入式IPS设备的,而思科设备却不是。Infonetics公司的杰夫·威尔逊也认为,思科IPS不是设计成可以在带内使用;尽管思科是IPS领域的市场领头羊,但思科“其平台用作一款阻止攻击流量的真正IPS的总体使用率最低。”
虽然Gartner的分析师约翰·佩斯卡托(John Pescatore)还没见过Infonetics的调查结果,不过他说,Gartner自己针对其客户开展的调查表明,用户获得信心从而把IPS用在嵌入式阻止模式下,可能需要相当长一段时间,甚至长达一年。
佩斯卡托问道:“为什么不完全在这种模式下启用?因为设备会出现性能问题,它们的速度会慢下来,或者可能阻止合法流量。”他表示,还存在IPS吞吐率性能方面的严重问题,而IPS行业需要解决这些问题。
未经允许不得转载:DOIT » 入侵防御设备的功能仍未得到全面应用
思科与Meta携手,就开源计算项目(OCP)展开合作