新世代 IPS 功能概觀

/ 10 5 月, 2018/ Product-Security

縱深防禦:從外到內完整防護

為了改善傳統入侵防禦系統的問題,Sourcefire新世代入侵防禦系統具備網路狀態探索、自動調校規則、使用者身份識別及關連式分析報表等新功能,並且允許管理者自行撰寫入侵防禦規則,防護自行開發的應用程式,或是已經停止支援的產品。

Sourcefire入侵防禦解決方案包含Sensor(IPS)及Defense Center(管理主控台),Sensor除了部署在網路邊界,還能防護內部網段、DMZ區、資料中心…等位置,提供完整的縱深防護;一般傳統的入侵防禦系統都部署在閘道端,無法防禦內部攻擊,造成很大的資安漏洞。

以下我們簡單說明Sourcefire跨世代的防禦技術:

 

即時網路警知
RNA是透過Sourcefire獨家的被動探索技術,分析通過Sourcefire IPS的封包,以獲得最即時的內容,包含網路設備、作業系統、應用程式、行動裝置及網路流量等資訊。由於採用被動式探索技術,因此不會造成任何負擔,主機上也不會產生任何安全警示(主動探索可能會造成網路斷線,引起防火牆或防毒軟體的警示,並且有空窗期的問題)。舉例來說,當一台新的電腦插上網路線,封包流經Sourcefire IPS後,系統就開始分析相關的內容,包含NetBIOS名稱、MAC位址、作業系統、開啟的服務、使用者及可能的弱點,也就是說,它能讓管理者隨時掌握企業網路的一舉一動。
自動調校規則
一般而言,為了效能與防護效率的考量,入侵防禦系統並不會開啟全部的防護規則,而且要隨著特徵資料庫的更新,定期調校規則,這也是入侵防護系統耗費最多人力之處。而透過上述RNA的資訊,Sourcefire就能夠知道網路上有哪些裝置,並依此來制定防護規則。Sourcefire可以採全自動方式,自動套用要啟用的規則,或是透過「半自動」的方式,由管理者過濾要啟用哪些規則,彈性調整設定以符合環境需要。
即時使用者警知
人是電腦犯罪事件的肇事者/受害者,當發生資安事件時,要找的不是電腦或IP,而是使用者,特別是在DHCP或多人共用電腦的環境,需要花費許多功夫才能找出當時的使用者。Sourcefire支援AD、LDAP、IMAP及Oracle…等使用者資訊,方便管理者在事件日誌中,即時查看使用者的資訊。
整合Snort防護規則
很多企業擁有自行開發的系統,或是已經停止支援的作業系統、應用程式,而成為資安防護的孤兒,因為入侵防禦系統廠商不會為了這些系統而去開發攻擊特徵。Sourcefire 採用 Snort 防護引擎,可自行撰寫防護規則,也可以直接匯入網路上發布的規則,更是業界唯一能夠完整匯入Snort規則的入侵防禦系統。 Sourcefire Vulnerability Research Team(VRT)是一群技術卓越的安全專家所組成,負責維護Snort的防護規則,並且建立Sourcefire IPS解決方案所使用的正式規則。
安全政策一致性
透過上述的資訊,Sourcefire還能做到安全政策控管功能,確保員工及電腦符合企業的安全政策。舉例來說,公司不允許使用即時通訊軟體,當員工的電腦上安裝Skype並進行連線時,就會被Sourcefire偵測到,並立即通知管理人員;另外,如果員工私自使用個人的電腦連線內部網路,一樣會被Sourcefire偵測,並發出警示。
內外部完整防護
新世代的入侵防禦系統,除了部署在閘道端之外,更可部署在資料中心、內部網段、DMZ區,防禦來自內部的攻擊行為。因此,Sourcefire的產品效能從5Mbps至40Gbps,能夠充份滿足企業的各種需求,部署在各種節點上,協同防禦每個角落。
入侵事件優先等級
透過Sourcefire的入侵事件優先等級,能夠篩選掉95%無威脅風險的事件,只保留5%需要關注的事件,降低管理負擔,對攻擊有漏洞的應用程式,可設定立即提示管理者。某個採用Sourcefire的客戶,其事件數就由2000萬筆減少為2000筆有效事件警示,大幅降低誤判率與減少管理負擔。
關連式分析報表
透過RNA、RUA及入侵事件優先等級等技術,Sourcefire的關連式分析報表,能夠最即時的協助管理者找到問題點。在每一筆日誌,管理者除了能夠查看到攻擊事件、來源/目的IP、使用者、日期…等資訊外,還能知道該主機的作業系統版本、應用程式版本及對應弱點等資訊,讓管理者不需東查西找,在一份報表中就能查到全部所需的資訊。
與第三方協同防禦
由於Sourcefire具備開放原始碼的彈性,因此能夠快速輕鬆的與各種協力廠商整合,包含弱點管理系統、安全資訊與事件管理系統(SIEM)、網路存取控制(NAC)及網路鑑識等,簡化資安產品部署與規畫程序,讓企業的投資成本獲得最大的效益。
當你每天忙著查看入侵系統的日誌,忙著驗證攻擊是否生效,忙著每個月攻擊分析報表,忙著每季的弱點掃描,忙著…;
請暫時停下手邊的工作,聽聽我們介紹Sourcefire新世代入侵防禦系統,它可以協助你減輕很多傳統入侵防禦系統繁雜的日常工作,讓你把時間留著企業的關鍵業務。
Share this Post