美國《網絡世界》網站對入侵防御系統(IPS) 是采用最佳的產品還是集成的解決方案展這個老問題開了爭論。持最佳產品觀點的人認為，安全是一個需要盡可能的最佳點的地方。但是，集成的解決方案提供商認為，日益發展的威脅需要全面的觀點。這個觀點要考慮更多的因素才能實現。下面是正反兩方的觀點。讀者可以判斷誰的觀點正確。

觀點1.需要最佳產品

[[52797]]

Sourcefire創始人和首席技術官馬丁·勒施(Martin Roesch)

Sourcefire創始人和首席技術官馬丁·勒施(Martin Roesch)撰文指出，10多年以來，我們一直聽說有關“X安全技術”如何消失在“Y設備”中的事情，因為購買者喜歡融合。但是，盡管有預言者的擔保，有一個事實是不變的 -- 對于最佳的入侵防御系統仍有大量的和日益增長的需求。

勒施說，我還告訴你們一個秘密：你們可以在一個集成的解決方案中有最佳的入侵防御系統。然而，首先，讓我們談談為什么最佳的入侵防御系統比僅為一個融合的解決方案的一部分開發的入侵防御系統更好。

為什么?因為最佳解決方案可提供高可靠性產品。這包括：

·保護：能夠以高度的準確性檢測到所有的攻擊，同時讓攻擊很難避開檢測。

·性能：認真地設計設備以便以最大的性能提供最大的能力。

·靈活性：設備把重點放在做好幾件事上并且要非常靈活。一個很好的例子是我們Sourcefire公司的下一代入侵防御系統。可以肯定地說，這是同類產品中最好的可配置的解決方案。

·研究：一個專門的研究團隊提供持續不斷的更新(入侵探測系統/入侵防御系統、殺毒軟件、安全漏洞管理等)支持這個系統。這個團隊負責開發內容和實施最初的研究以便保持高級的能力。

當你查看Sourcefire提供的解決方案的時候，你能夠看到所有這些起作用的概念。在最新一輪NSS測試中，可以看到Sourcefire的入侵防御系統解決方案提供最佳的檢測能力、防躲避能力、安全漏洞覆蓋范圍以及任何入侵防御系統的性能。不僅如此，我們繼續研究新的檢測方法并且利用一切機會擴展基礎的Snort(嗅探)引擎功能以保持我們在這個行業的領先地位。

集成的解決方案有它們工作所依據的一套不同的參數。集成的系統采用類似入侵防御系統的功能，其目標一般不是提供最佳的入侵防御系統，而是提供一個 “足夠好”的功能以及其它一些核心功能并且以較低的成本提供許多功能。這個理由是，如果安全能夠讓人們在“一個屋檐下”輕松地獲得和管理，我們將看到更多地應用擴展的功能，從而實現更好的安全。

這在邏輯上是有意義的。經驗表明，你可以集成商品功能并且不犧牲太多的功能。遺憾的是，當隨意通過糟糕的連接技術進行集成或者如果要求一個設備集成太多的功能的話，這個模式就垮掉了。

一般來說，一個設備的功能越多，它就需要更大的計算能力。當設備不可避免地超過負荷并且影響網絡性能的時候，要解決的第一件事情就是這個解決方案提供的保護質量。用戶很快失去他們購買這個解決方案的最初的理由。

統一威脅管理(UTM)工具在這方面是最糟糕的。安全領域太頻繁地從“保護我們避開我們面臨的危險”的模式轉向“保護我們避開互聯網上的10大威脅和不影響任何事情”的模式。

一些廠商試圖通過制造客戶化的硬件和芯片來解決這個問題。他們要以勉強接受的性能增加大量的檢測功能。但是，這樣做通常要付出保護質量和靈活性下降的代價。

綜上所述，最佳的技術可以是一個集成的解決方案的一部分并且能夠發揮很好的功能，但是，它要使用與上述完全不同的觀點來建造。Sourcefire建造下一代防火墻的方法是以有效的和強有力的方法把經過證明的最佳技術集中在一起，同時不犧牲檢測質量、性能或者靈活性。

我們認為，這種不犧牲產品質量的解決這個問題的方法是建造安全平臺的一個新的模式。這個平臺能夠運行單獨的最佳技術，或者作為一個集成的解決方案針對目前的威脅以后可用的最佳保護。

#p#

觀點2：集成是最好的

Palo Alto Networks高級安全分析師韋德·威廉遜(Wade Williamson)

Palo Alto Networks高級安全分析師韋德·威廉遜(Wade Williamson)撰文指出，對于入侵防御系統采取集成的方法還是最佳技術的方法的爭論是一個虛假的選擇。目前，對于入侵防御系統采取的最佳的方法是集成的方法。威脅環境和安全行業本身都支持這個觀點。

10多年來，安全行業一直試圖使用一種新的專用設備解決每一個新的安全挑戰。這個方法在操作上是不可行的并且最終是無效的。單獨的系統造成了信息豎井，導致設備在每一個網段上蔓延，并產生管理和運營開銷。

同樣重要的是，隨著攻擊技術日益高級，單獨的解決方案缺少檢測和修復復雜的現代攻擊所需要的重要的背景信息。

現代的IT威脅的長期發展已經超出了單獨的入侵防御系統能夠解決的攻擊類型。現在的攻擊者并不把自己限制在僅僅利用一個安全漏洞方面。相反，他們利用許多安全漏洞、惡意軟件、遠程接入攻擊、被感染的URL以及已知的或者客戶化的威脅。利用各種應用程序能夠進一步d利用上述威脅。這些應用程序能夠代理、秘密傳送和加密威脅以避開傳統的安全措施

要阻止這些類型的威脅，我們必須保證通訊本身的可見性，控制所有的各種威脅規定并且完全在相關的環境中做這個事情。單獨的入侵防御系統不能做這個事情。這是所有的堅定的入侵防御系統廠商或者被大型網絡安全廠商收購或者開發自己的下一代防火墻的主要原因。

威廉遜說，我可以肯定，上述說法會引起一些不滿。因此，讓我提供一些信息來支持這個觀點。首席，目前對網絡威脅的任何討論都應該從威脅如果避開安全措施開始。一個入侵防御系統將漏掉它看不到的或者找錯地方的威脅。因此，在通訊還沒有達到入侵防御系統之前，這場戰斗已經失敗了。集成的解決方案正是在這個地方提供單獨的入侵防御系統缺少的重要的環境信息和控制能力。

例如，考慮如何定期使用應用程序隱藏威脅。他們能夠加密通訊、跳點端口或者在其它應用程序中建立隧道以便出現在人們意想不到的地方。考慮到入侵防御系統特征一般是根據端口應用的(例如在端口Y至端口Z使用X特征)，這是很重要的。如果這個威脅出現在預料之外的端口，那么，這個特征就不會執行。

除了躲避應用程序之外，代理程序、遠程桌面工具、壓縮的通訊以及UltraSurf和Hamachi等專用饒過工具都能幫助攻擊者避開檢測。相比之下，下一代防火墻能檢測所有的通訊，無論是什么端口，因此，避開端口是無效的。而且，它能不斷地解碼協議和應用程序，因此，通訊不能隱藏其中并且控制所有的應用程序類型。這樣，想饒過檢測的通訊就不允許通過網絡。

對于專用的入侵防御系統來說，問題還不止是應用程序。一個現代的網絡威脅將融合安全漏洞、各種類型的惡意軟件以及遠程網站和服務器。所有這些組件一起作為這個攻擊的一個組成部分，每一個部分對于安全行業來說可能是已知的或者未知的。單獨的入侵防御系統僅知道其中的部分組件(已知的安全漏洞)，而漏掉其它的組件。

事實上，對于不考慮現代惡意軟件的復雜性的現代“入侵防御”措施很難想象一種合理的方法。現代惡意軟件通常感染代理程序和正在運行的控制機制。一個入侵防御系統可以在這里或者那里檢測到奇特的病毒，但是，不能檢測出對網絡構成威脅的數百萬惡意軟件樣本。一個入侵防御系統也許能檢測少數已知的惡意 URL，但是，缺少數百萬網站的每日更新以便跟蹤已經被感染或者正在發布威脅的網站。在現代威脅防御中，關聯的環境是王。單一功能的解決方案不起作用。

而且，入侵防御系統產品僅限于已知的安全漏洞。雖然所有的現代入侵防御系統解決方案都使用安全漏洞特征，但是，有些特征仍是以已知的東西為基礎的。任何真正的未知的特征都會漏掉。

惡意的指揮與控制通訊定期在網絡上顯示為未知的通訊。未知的或者沒有分類的URL可能是一個攻擊的跡象，因為攻擊者將迅速建立和撤銷URL使他們很難被跟蹤。IT需要檢測未知文件中惡意行為的能力。還有許多超出入侵防御系統能力的事情。但是，這些事情對于阻止入侵者都是非常重要的。

因此，有關單獨的和集成的入侵防御系統的爭論基本上解決了(至少暫時是如此)。隨著壞人從單個攻擊的安全漏掉向多方位的和多向量的威脅發展，如果我們人為地把我們的網絡安全智能和強制執行措施分割為專門的豎井，我們就會讓這些壞人占優勢。(編譯/胡楊)