傳統 IPS 與新世代 IPS
傳統IPS與新世代IPS
由於傳統入侵偵測系統(Intrusion Detection System,IDS)逐漸不敷需求,因此在2002年左右,入侵防禦系統(Intrusion Prevention System,IPS或 Intrusion Detection and Prevention Systems,IDP)成為當紅炸子雞。但經過了8年的時間,傳統第一代IPS面對各種新的應用、設備、技術,卻成為一隻弱雞,無法即時應變,也阻擋不了日新月異的攻擊威脅。
傳統入侵防禦系統
傳統入侵防禦系統就像是一個飛機的黑盒子,在沒有發生事情之前,你可以不用去理它,甚至忘了它的存在;但當事件發生時,問題也來了,解讀黑盒子是一門學問,要從中找出事件發生的原因更需要專門的人才。
我們大概整理出傳統入侵防禦系統所遭遇到的一些問題:
- 堆積如山的日誌:當入侵防禦系統一設定完成,它就開始日以繼夜的產生日誌。面對這些堆積如山的日誌,許多管理員選擇完全忽略,如果使用者沒有反應,就不處理;也有管理者會將它列印出來存檔,不但花費更多的資源,問題仍然無法有效的處理。
- 資訊不足:攻擊日誌裡面只列出 IP 位址或電腦名稱,光從這些資料,我們很難判斷此攻擊是否造成損害,舉例來說,針對 SQL Server 的重大攻擊,查出來的主機卻是 Windows XP ,甚至沒有開啟 / 安裝 SQL 服務,一切都是烏龍一場。
- 誤攔與漏攔:有些廠商強調產品安裝設定後就可以不用管理,只要自動更新特徵資料庫,就能阻擋攻擊。事情真的這麼美好嗎?當然不可能,因為網路環境會變,系統會更新,應用程式會升級,必須要花費許多心力去調校規則,才能符合網路現況。
- Top N 報表: Top N 是代表最多的攻擊事件,但一萬筆不重要的攻擊,比不上一筆重要的攻擊;所以還有另一種報表會依照攻擊事件的嚴重程度進行分類,再結合數量。但這些報表仍然只是單純的數字呈現,沒有太大的實質用途,需要大量的人力介入進行分析,才能查知該筆攻擊是否造成損害。
- 內部攻擊事件:傳統的入侵防禦都是部建在閘道端,只能防禦從外至內的攻擊;若是攻擊從內部發起,那部署在閘道端的 IPS 根本就無用武之地。
Gartner於2011年10月7日,定義了新世代網路入侵防禦系統(Next-Generation Network Intrusion Prevention,NGIPS)的功能,包含以下5項:
- 標準第一代IPS功能:能夠依照弱點與攻擊威脅特徵,來進行偵測及阻擋。並且快速的研發及發布新的特徵碼。
- 應用程式警知及辦識功能:能夠辦識應用程式,及執行應用層的安全政策,不論其使用的埠、通訊協定或服務。
- 關連式警知功能:整合各種來自內部及外部的資訊,以決定是否進行封鎖,或是變更入侵防禦的規則。
- 內容警知:能夠檢查及分類進出的執行檔及其他檔案類型,例如PDF或Office檔案,並可即時做出通過、隔離及丟棄等決定。
- 敏捷式引擎:支援透過更新來獲得防禦新威脅所需的資訊及技術。
傳統第一代的入侵防 禦系統(IPS),就像是一個黑盒子,24小時持續不斷的記錄攻擊事件。平時沒事發生時,就相安無事,但是當事情發生時,”歹誌就大條了”。因為大部份的管理者對於IPS的防禦規則是每季調整(甚至從未調整),所以根本就無法阻擋新式攻擊;即使有留下事件日誌,也因為數量龐大,需要花費大量的人力和時間去分析,當找出問題點時,早已過了處理的黃金期。
每天有看不到的事件日誌,更是許多資安管理人員的痛,因為傳統的Top N及嚴重性報表,很難從中找到有用的資訊,舉例來說,當要分析某個攻擊事件時,上面只有攻擊名稱及目的主機,管理人員還要東查西找,才知道這台主機是不是存在,上面運行什麼作業系統,上面執行哪些應用程式,是不是有漏洞…。追根究底來說,是因為傳統的入侵防禦系統並不清楚要保護什麼,只知道看到攻擊就要擋下來,不論該攻擊是否有效。
Sourcefire新世代入侵防禦系統,顛覆我們對IPS的概念與印象,它認為要做到最完善的安全防禦,必須先清楚要保護的對象是誰,Sourcefire獨家的網路偵測感知技術,能夠24*7不停的運作,自動探索網路內部有哪些作業系統、應用程式、網路設備及行動裝置…等,特別適用在現今動態變動的網路架構。然後再根據這些資訊,自動提供調校規則的建議(或可自動調校規則設定),給予管理人員最佳的防禦建議,等於是請了一個資安顧問到府服務。這樣的做法,徹底解決傳統入侵防禦系統的空窗期、無法即時回應等問題。
由於知道內部有哪些設備、主機、系統及應用程式,因此,Sourcefire將攻擊日誌分成四級,不存在的主機、未開啟的服務或已修補漏洞的攻擊事件,都不需要關注,資安管理人員可以全心全力去關注真正重要的資安事件,大約只佔全部攻擊事件的5%,例如攻擊存在漏洞的Windows 2008 Server或Adobe程式。
當管理人員檢視這些重要事件時,可以輕鬆的在關連式分析主控台上,找到所需的資訊,例如攻擊事件的主機、MAC位址、開啟的服務、通訊協定、有哪些使用者登入、登入的時間及存在的漏洞(弱點)。當偵測到攻擊事件時,Sourcefire同時會將封包側錄下來,方便管理者檢視,大部份的IPS設備則未開啟此功能,因為會嚴重影響到系統效能。
另外,每個事件都有對應的文件,裡面詳細描述所使用的偵測規則、影響的系統、修補方式,及相關的參考文件。更特別的是,Sourcefire IPS還能監控是否有違反公司安全政策的事件,例如員工違規安裝不合法應用程式,或是私帶設備連線至內部設備,違反公司的安全政策,都會立即通報管理人員。
Sourcefire新世代入侵防禦系統是目前唯一符合Gartner所定義的NGIPS設備,其獨家的網路感知、自動調校及關連式管理主控台,能夠協助管理人員更快速、輕鬆的調校IPS,找出問題點。 
圖說:Sourcefire能夠在不影響網路流量的狀態下,自動收集網路主機及其活動的資訊,包含作業系統、服務、
開啟的網路埠、用戶端應用程式及弱點。
圖說:Sourcefire具備封包層鑑識功能,可針對每個事件提供封包截取資料(PCAP),而且不會影響到系統效能。