入侵防御設備的功能仍未得到全面應用
入侵防御設備的功能仍未得到全面應用涉及的幾個原因包括可靠性、吞吐率、流量延遲和誤報率。
基于網絡的入侵防御系統(IPS)是一種嵌入式(in-line)設備,目的在于檢測及阻止多種多樣的攻擊;不過新的研究顯示,這種設備的使用仍然常常更像是被動監控流量的入侵檢測系統。
Infonetics研究公司對169名負責為所在公司管理IPS的安全專業人士進行了調查,旨在查明IPS過濾器用于阻止攻擊的全部功能是不是真正得到了使用;如果沒有真正得到使用,查明其中的原因。IPS廠商TippingPoint委托這家研究公司進行的這項調查涉及TippingPoint的產品,另外還涉及思科、IBM、McAfee和Sourcefire這些廠商的同類產品。
Infonetics公司的網絡安全首席分析師杰夫·威爾遜(Jeff Wilson)說:“人們對IPS的態度還是非常謹慎。這項調查給我的印象主要是,我們還沒有進入純IPS的時代,盡管大家都喜歡聲稱我們進入了這樣一個時代。”
思科是IPS領域的主導廠商,這項調查體現了這一點;調查對象當中有77個思科IPS客戶、38個TippingPoint客戶、36個IBM ISS Proventia客戶、26個McAfeeIPS客戶以及15個Sourcefire IPS客戶――他們都詳細描述了如何在所在公司使用IPS。每家公司的平均規模是擁有9418名員工。
IPS的第一步通常是決定要不要在帶內使用;Infonetics公司發現,帶內使用IPS的TippingPoint客戶有91%、思科客戶有70%、IBM和McAfee客戶各有67%,Sourcefire客戶大約有55%。
提到不想在帶內使用IPS設備的幾個原因包括可靠性、吞吐率、流量延遲和誤報率。
對于那些在帶內使用IPS設備的客戶來說,下一步就是確定IPS設備的可用過濾器當中有多少可以激活,以便阻止不同類型的攻擊流量。調查發現,那些在帶內使用IPS設備的客戶常常并沒有讓所有過濾器工作在阻止模式下,而是有時候只是工作在警報模式下。工作在阻止模式下的IPS過濾器在TippingPoint和IBM設備中的情況要多得多,而在Sourcefire設備中的情況少得多。在IBM、思科和McAfee的設備中,在混合模式下阻止和純警報功能被激活的情況是各一半。
據調查顯示,廠商們提供的過濾器更新庫(filter updates)只是在40%到74%的時間得到了使用,時間長短視產品而定。
至于為什么客戶們不愿意使用新的過濾器,已見過調查結果的獨立分析師理查德·斯蒂農(Richard Stiennon)表示,IPS客戶通常在部署過濾器更新庫之前,先在實驗環境下進行分析。有時候,過濾器特征會“破壞應用程序或者阻止協議”,斯蒂農說。“所以有時候它們未得到部署。”
五年前斯蒂農還是Gartner公司入侵防御設備的功能仍未得到全面應用涉及的幾個原因包括可靠性、吞吐率、流量延遲和誤報率。
基于網絡的入侵防御系統(IPS)是一種嵌入式(in-line)設備,目的在于檢測及阻止多種多樣的攻擊;不過新的研究顯示,這種設備的使用仍然常常更像是被動監控流量的入侵檢測系統。
Infonetics研究公司對169名負責為所在公司管理IPS的安全專業人士進行了調查,旨在查明IPS過濾器用于阻止攻擊的全部功能是不是真正得到了使用;如果沒有真正得到使用,查明其中的原因。IPS廠商TippingPoint委托這家研究公司進行的這項調查涉及TippingPoint的產品,另外還涉及思科、IBM、McAfee和Sourcefire這些廠商的同類產品。
Infonetics公司的網絡安全首席分析師杰夫·威爾遜(Jeff Wilson)說:“人們對IPS的態度還是非常謹慎。這項調查給我的印象主要是,我們還沒有進入純IPS的時代,盡管大家都喜歡聲稱我們進入了這樣一個時代。”
思科是IPS領域的主導廠商,這項調查體現了這一點;調查對象當中有77個思科IPS客戶、38個TippingPoint客戶、36個IBM ISS Proventia客戶、26個McAfeeIPS客戶以及15個Sourcefire IPS客戶――他們都詳細描述了如何在所在公司使用IPS。每家公司的平均規模是擁有9418名員工。
IPS的第一步通常是決定要不要在帶內使用;Infonetics公司發現,帶內使用IPS的TippingPoint客戶有91%、思科客戶有70%、IBM和McAfee客戶各有67%,Sourcefire客戶大約有55%。
提到不想在帶內使用IPS設備的幾個原因包括可靠性、吞吐率、流量延遲和誤報率。
對于那些在帶內使用IPS設備的客戶來說,下一步就是確定IPS設備的可用過濾器當中有多少可以激活,以便阻止不同類型的攻擊流量。調查發現,那些在帶內使用IPS設備的客戶常常并沒有讓所有過濾器工作在阻止模式下,而是有時候只是工作在警報模式下。工作在阻止模式下的IPS過濾器在TippingPoint和IBM設備中的情況要多得多,而在Sourcefire設備中的情況少得多。在IBM、思科和McAfee的設備中,在混合模式下阻止和純警報功能被激活的情況是各一半。
據調查顯示,廠商們提供的過濾器更新庫(filter updates)只是在40%到74%的時間得到了使用,時間長短視產品而定。
至于為什么客戶們不愿意使用新的過濾器,已見過調查結果的獨立分析師理查德·斯蒂農(Richard Stiennon)表示,IPS客戶通常在部署過濾器更新庫之前,先在實驗環境下進行分析。有時候,過濾器特征會“破壞應用程序或者阻止協議”,斯蒂農說。“所以有時候它們未得到部署。”
五年前斯蒂農還是Gartner公司的分析師時,就宣布IDS已“死亡”,曾在當時引起了一番爭議。現在他表示,Infornetics公司的這項調查給他帶來了再次激起批評人士大加撻伐的刺激因素。
斯蒂農說:“IDS會死亡,因為它仍是一項失敗的技術。”他表達了這種觀點:只是單單把有關攻擊的警報記入日志幾乎總是一項平淡無奇的操作。“IPS設備在阻止攻擊方面應當有更大的作為。”
他還表示,TippingPoint設備當初是有意設計成一款嵌入式IPS設備的,而思科設備卻不是。Infonetics公司的杰夫·威爾遜也認為,思科IPS不是設計成可以在帶內使用;盡管思科是IPS領域的市場領頭羊,但思科“其平臺用作一款阻止攻擊流量的真正IPS的總體使用率最低。”
雖然Gartner的分析師約翰·佩斯卡托(John Pescatore)還沒見過Infonetics的調查結果,不過他說,Gartner自己針對其客戶開展的調查表明,用戶獲得信心從而把IPS用在嵌入式阻止模式下,可能需要相當長一段時間,甚至長達一年。
佩斯卡托問道:“為什么不完全在這種模式下啟用?因為設備會出現性能問題,它們的速度會慢下來,或者可能阻止合法流量。”他表示,還存在IPS吞吐率性能方面的嚴重問題,而IPS行業需要解決這些問題。
【編輯推薦】
【責任編輯:王文文 TEL:(010)68476606】
