IPS:最好的品种或集成解决方案?

在入侵防盗系统方面,关于是否以最佳产品或集成的解决方案结合使用的古老问题是特别突出。安全是您需要最好的点产品的领域,最好的品种人员争论。但演化的威胁需要更全面的观点,只能通过考虑更多因素,集成解决方案供应商计数器。谁是对的?你决定。

专家
马丁罗西克
马丁罗西克

SourceFire的创始人和首席技术官说,您需要专注于正常执行IPS工作,这意味着最好的品种是去的方式。查看辩论

韦德威廉姆森
韦德威廉姆森

Palo Alto Networks的高级安全分析师认为,景观已经转移,并且IPS可以提供​​足够的指导的唯一方式是,如果它需要整个画面。查看辩论

马丁罗西克

要求最好的

现在十多年来,我们听说过“安全技术X”将如何消失为“设备Y”,因为买家喜欢融合。但尽管预测者的保证是一个事实仍然存在 - 尽量仍然是最好的品种入侵防御系统(IPS)。

我还会告诉你一个秘密:你可以在一个集成的解决方案中获得最好的繁殖IP,但后来更多。然而,首先,让我们谈谈最好的品种IPS优于为融合解决方案开发的IPS优于IP。

缩放预防10G,40G及以后的入侵系统

为什么?因为最佳品种解决方案提供了高保真度,包括:
•保护:检测所有攻击的能力,并具有很高的准确性,同时也难以逃避。
•性能:设备经过精心设计,能够在最大性能下提供最大性能。
•灵活性:设备集中在很好地进行几件事,往往非常灵活。一个很好的例子是我们的下一代IPS在Sourcefire。说它是它的那种最具可配置的解决方案是非常安全的。
•研究:由连续内容更新(IDS / IPS,antimalware,漏洞,漏洞管理等)支持的系统,该团队负责开发内容和执行原始研究以维持切削边缘能力。

当你看这个解的时候sourcefire.提供您可以在游戏中看到所有这些概念。在最新一轮的NSS测试中,可以看出SourceFire的IPS解决方案提供了最佳的检测能力,防逃避,漏洞覆盖和任何IP的性能。不仅如此,但我们继续研究新的检测方法,并在每一个维护我们在这个行业的领导地位的机会时扩大潜在的嗅探发动机的能力。

集成解决方案具有不同的参数,它们在下面工作。包含IP等函数的集成系统的目标通常不是提供最佳的IP,而是提供“足够好的”功能以及其他几个核心功能,并为较低的成本提供大量功能。推理是,如果让人们易于获得和管理“在一个屋檐下”,我们将看到更多采用扩展功能,因此更好的安全性。

从逻辑上讲这是有道理的,体验表明您可以集成商品功能,而不是牺牲太多能力。不幸的是,当通过耦合的技术集成不良应用时,这种模型可以分解它,或者如果询问设备太多。

一般而言,设备具有的功能越多,所需的计算能力就越多。当设备不可避免地被过载和影响网络性能时,首先要去的是解决方案提供的保护质量;用户迅速失去专注于他们首先购买解决方案的原因。

统一威胁管理(UTM)工具在这里是最糟糕的。安全常常从“保护我们免受我们所面临的威胁”变成“保护我们免受互联网上的十大威胁,而不影响任何东西”。

一些供应商试图通过构建定制的硬件和芯片来解决这个问题,以便在可接受的性能下提供更大的检测集,但这往往是以保护质量和灵活性为代价的。

所有这一切都说,最好的技术可以是集成解决方案的一部分,并且可以很好地起作用,但它需要通过比上述更不同的哲学构建。SourceFire的方法在我们建造了自己的下一代防火墙时,它是专注于将经过验证的最佳技术,以一种有效和强大的方式,而不会牺牲检测质量,性能或灵活性。

这种攻击问题的禁止方法是我们所认为建立安全平台的新模型,这些模型可以运行独立的最佳技术,或者作为仍然提供最佳保护的集成解决方案,以防止当今威胁。

SourceFire正在转变全球2000个组织和政府机构管理和最大限度地减少网络安全风险的方式。通过从网络到端点的解决方案,SourceFire为客户提供了敏捷的安全性,作为现实世界的动态,它可以保护它和防御它的攻击者。

韦德威廉姆森

综合是最好的品种

IPS综合或最佳方法之间的辩论是假选择。如今,对IPS的最佳方法是综合方法,威胁景观和安全行业本身都承受了这一点。

十多年来,安全行业试图用新的专业盒子解决每个新的安全挑战。这种方法既经营也是不切实际的,最终无效。单独的系统创建信息孤岛,导致设备蔓延到每个网络段,并生成管理和操作开销。

测试:Palo Alto PA-5060是一个快速防火墙

同样重要的是,随着攻击变得越来越复杂,孤立的解决方案缺乏检测和纠正复杂的现代攻击所需的所有重要上下文。

现代IT安全威胁长期以来,由于攻击独立IPS旨在解决的攻击类型而发展。今天的攻击者不会限制自己只是运行漏洞利用。相反,他们使用爆炸性,恶意软件,远程访问工具,受感染的URL,甚至是未知或自定义威胁,所有这些都可以通过各种应用程序进一步启用,可以通过各种应用程序来代理,隧道和加密威胁来逃避和隐藏传统安全性。

为了阻止这些类型的威胁,我们必须确保对流量本身的可见性,控制所有不同的威胁规则,并在上下文中进行处理。一个独立的IPS做不到这些事情,这也是为什么所有强大的IPS供应商要么被更大的网络安全供应商收购,要么正在匆忙开发他们自己的“下一代”防火墙的主要原因。

我相信上面的陈述提出了几个骚动,所以让我提供一些支持。首先,任何对网络威胁的现代讨论都应开始了解威胁如何隐藏安全性。IPS会错过它在错误的地方无法看到或正在寻找的每一个威胁,所以战斗可能会在交通到达IPS之前丢失。这是一个集成解决方案提供重要的背景和控制,以控制独立的IPS缺乏。

例如,考虑应用程序定期使用应用程序来隐藏和隐藏威胁。它们可以在其他应用程序中加密流量,跳端口或隧道以显示出意想不到的地方。这很重要,因为IPS签名通常基于端口应用(例如,在端口Y到z上应用签名x)。如果威胁在预期范围之外的端口上显示,则签名从未执行。

除了规避应用程序,代理程序、远程桌面工具、压缩流量和像UltraSurf和Hamachi这样的专门构建的规避工具都可以帮助攻击者避开检测。相比之下,下一代防火墙会检测所有流量,而不考虑端口,所以端口规避没有效果。此外,它逐步解码协议和应用程序,使流量不能隐藏在和控制所有应用程序类型,因此不允许在网络上规避。

专用IPS的问题并不仅限于应用程序。现代的网络威胁将包括漏洞利用、各种类型的恶意软件以及远程网站和服务器。所有这些组件一起作为攻击的一部分工作,每个组件对安全行业来说可能是已知的,也可能是未知的。独立IPS只理解其中一个组件——已知的漏洞利用——而忽略了其他组件。

事实上,很难设想使用现代“入侵预防”的合理方法,这些方法不会考虑现代恶意软件的复杂性,这通常是感染剂以及正在进行的控制机制。IPS可以在这里和那里检测奇数病毒,但不是数百万恶意软件样本对网络构成威胁。IPS可能会检测到一些已知的坏网址,但缺乏数百万网站的日常更新,以跟踪已感染或正在分配威胁的地点。在现代威胁预防背景下是国王,一个函数解决方案没有它。

此外,IPS产品仅限于已知的漏洞。虽然所有现代IPS解决方案使用漏洞签名,但这仍然是基于已知的东西的签名。任何真正未知的东西都将被传递。

恶意命令和控制流量通常以未知流量的形式出现在网络中。未知或未分类的url可能是攻击的标志,因为攻击者会迅速建立和销毁url,使自己更难被跟踪。IT将需要能够测试未知文件的恶意行为。这些都是超出IPS所能做的事情,但它们都是真正防止入侵的关键。

因此,独立与集成IPS之间的辩论相对稳定(至少暂时)。由于糟糕的家伙已经从单次利用进化到多维,多矢量威胁,我们只能在他们的网络中展开我们的网络安全智能和执法进入专门的筒仓。

Palo Alto Networks是网络安全公司。其下一代防火墙将应用程序,内容和用户感知防火墙技术与IPS,防病毒,基于云的抗动软件和其他技术集成,以阻止威胁并防止企业中的数据泄漏。

想要更多的技术辩论吗?查看我们的存档页面

加入网络世界社区有个足球雷竞技appFacebooklinkedin.评论是最重要的主题。
有关的:

版权所有©2011.Raybet2

2021年IT薪资调查:结果是