的要求不是很高。当硬件发展和软件算法都足以支撑串行设备进行深层分析的时候,串接在网络中,对应用层的威胁行为也能发现并防御的产品需求就呼之欲出了。一时间,入侵防御产品是入侵检测产品的升级版本,入侵检测产品没有用的言论甚嚣尘上。入侵检测产品是不是已经走到了产品生命周期的尽头,是不是已经没有人需要用入侵检测产品了呢?
入侵检测系统的发展
入侵检测产品真的只是防火墙的补充么?如果是这样的话,那么当网关类产品实现了对深层威胁行为的防御之后,入侵检测产品真的就寿终正寝了,这也是GARTNER认为入侵检测已死的最重要的原因:已经有了对应用层攻击进行防护的产品了,这种只能检测的产品——入侵检测,已经走了尽头。
其实不然,在入侵检测产品被广泛应用的过程中,“发现应用层攻击行为”已经不是入侵检测产品功能的全部了。旁路部署的入侵检测有一个最大的天然优势就是可以从全局的角度查看网络数据:不论是进出网络的,还是网络内部的。这使得入侵检测拥有了成为管理手段,而非使用工具的机会。
和入侵防御产品不同,入侵检测产品关注网络中的所有事件,而不仅仅是值得阻断的威胁事件。因为通过对历史数据的分析和对比,入侵检测可以实现其更高的管理价值:提供安全建设建议和评估网络安全建设效果。
提供安全建设建议
很少有安全产品像入侵检测产品那样需要加入大量的人工分析,这往往是那些“IDS无用论”拥趸们的武器:入侵检测不能“即插即用”,还需要加入分析,很不好。但这恰恰是入侵检测产品最有价值的地方:它能告诉用户,什么地方存在什么样的威胁,需要如何处理。比如说熊猫烧香病毒,可以利用网络共享、U盘等方式进行传播,网关级的安全设备对这种“自内而外”的传播方式无能为力,防病毒软件则因为该病毒中有自动停止防病毒软件进程,修改防病毒软件注册表键值等手段而束手无策,只有入侵检测产品这种旁路监听的产品,可以及时发现网络中的异常,明确找出病毒根源并提出解决对策:隔离受感染主机、在防火墙等安全设备上增加安全策略、为服务器等重要资产划分独立区域、增加适当网络安全设备(如防病毒、防火墙)、完善计算机安全管理制度(不允许使用未经检验的移动存储设备等)。
评估网络安全建设效果
正是由于入侵检测产品需要人工分析,所以报表、日志数据库就一直作为入侵检测产品的重要组成部分,而正是有了这些历史数据的积累,才有了入侵检测的另外一个管理作用:评估安全建设效果。
我们来设想一个场景,怎样才能评估网络安全建设的效果呢?新购置的防火墙产品是否有用?放置的位置是不是最佳的选择?
没错,需要评估某事、某物的效果,不外乎调查和对比,收集此前、此后的相关数据并进行对照,有无效果一目了然。入侵检测产品就是这样一个可以协助效果评估的管理工具:它拥有最完善的网络历史和实时数据,网络过去的状况和现在的状况应有尽有。某用户初次部署入侵检测产品,发现一天中服务器遭受内外部威胁次数是100次,而整个网络事件次数为1000次,在经过增加其他安全产品,调整网络布局配置后,发现一天中服务器遭受威胁次数降低到了8次,整个网络事件次数为32次,这就说明安全建设(增加产品、调整配置等)是有效果的。
最后,我们用一个实际案例来说明入侵检测产品的效果。
本文来源:赛迪网 作者:佚名