【轉貼】 入侵偵測應該只是功能,而非產品



贊助商連結


天氣預報
2003-10-22, 07:21 PM
入侵偵測應該只是功能,而非產品


Gartner/John Pescatore, Richard Stiennon, Ant Allan•陳奭璁譯  22/10/2003




入侵偵測長期佔據「Garter吹噓資訊安全排行榜」上,但這不代表它應該被淘汰。入侵偵測應該整合在其他產品內,而非單獨成為一項商品販售。

一堆問題

在最近一份報告「2003年資訊安全吹噓週期」(Hype Cycle for Information Security, 2003)中,Gartner指出「入侵偵測是個市場大敗筆(market failure),廠商現在極力鼓吹入侵預防系統,但這也已經觸礁。此一功能已經轉至防火牆產品內,一方面可進行內容的深度封包檢視,並阻擋惡意流量,同時也充當防毒作用。」

雖然這樣的說法有其研究根據,但卻也引來Gartner許多客戶的疑問:

我是否可乾脆放棄偵測網路入侵呢?

你應該繼續偵測入侵。不過,你不必投資於單獨網路化的入侵偵測系統(IDS)。網路化IDS有兩個重大缺點:


經常會有誤判狀況發生
若沒有大規模長期調校,網路型IDS每次產出的數千個警報中,只有一個是真正發生的入侵。


無法達到全線速度(wire speed)
多數網路型IDS產品無法即時偵測攻擊,且無法處理內部網路的高速流量。

第一項缺點導致企業放棄投資IDS,並把監控作業委外給安全服務供應商,或者還得另外投資安全管理產品來從一堆假警報中挖掘出真正需要處理的可能攻擊。第二項缺點顯示IDS純粹只能「見機反應」而已,等安全小組接到警報後,攻擊事件早已無法阻止。

IDS廠商是否已改善精確度與性能?

入侵偵測系統(IDS)廠商已經稍微改進了誤判的情況,比起第一代產品已經好了許多,但對於有些IDS廠商表示已經解決假警報問題,且執行速度也可達到線速(wire speed),這種說法還是有偏差。若他們可精確偵測到真正的攻擊,且以線速(wire speed)進行,那還需要發出警告嗎?為何不直接攔阻攻擊呢?

雖然假警報與性能問題主要出在網路型IDS上,主機型IDS則需朝「阻擋」方向進行,而非僅止於「發出警告」。

若會影響正常流量的話,我還應該阻擋網路攻擊嗎?

兩大最常見的安全產品分別是防火牆與防毒產品,兩者都可阻擋攻擊。由於網路型IDS製造的假警報已經多到令人不堪其擾,企業大概也不相信IDS有能力阻擋攻擊。不過,在2006年,多數企業會以新一代的防火牆來進行入侵偵測。

我們可將事件分為三種類別:


高度可信正常流量--允許通過


高度可信攻擊流量--阻擋


不明流量--紀錄或警示(入侵偵測)


防火牆已經可處理這樣的流程,不過多半是在網路通訊協定層面上。Web應用防火牆與其他深度封包偵測型產品已經可以在應用層面執行此一流程。由於演算法與高速網路安全處理器的進步,使得下一代防火牆將可在各個協定層面執行偵測與阻擋。成熟產品可望於2005年上市。

若僅只依賴防火牆來做入侵偵測,這會不會很像說:汽車因為已經有加竊盜鎖了,所以不需防盜器,?

若汽車防盜器每分鐘響十次,且車子被偷兩小時後才發出真正警告,那我們可說是個失敗的產品。IDS的效能必需改進後才能真正發揮作用。若性能改進了,IDS便可阻擋攻擊,防火牆將可吸收此一功能。

我該在內部網路使用IDS來偵測防火牆偵測不出的攻擊嗎?

多數內部攻擊事件都是合法用戶做了不該做的事情,或者濫用他們的權限。網路型IDS系統也無法偵測此類活動。網路IDS感應器可偵測內部駭客事件,但這種事件只佔了「內賊事件」的5%。

IDS用在內部網路上最有用之處是發現「有問題的」伺服器,或者說形跡可疑的伺服器。不過要設定內部網路裝設IDS感應器的成本與在同一節點上安裝線上(in-line)防火牆的成本相差不多。隨著此一技術的進步,下一代防火牆的性能與價格將可允許執行內部入侵偵測,降低蠕蟲與混和型攻擊的影響。利用防火牆來篩選應用層面連結將會需要在防火牆上設定許多規定。

若規則規定太多太龐大,是否會影響防火牆的性能與安全?

企業需要廣泛調校網路型IDS才能有效使用。這些調校行動基本上都是一些安全政策規定,用來判定哪些可通行,哪些需拒絕(拒絕則會發出警報),跟防火牆的作法類似。因此,任何應用層面安全措施所需的規定都會比單純的網路協定安全控制來得多。

下一代防火牆可以線速(wire speed)來部署複雜的規則。首要產品將可提供使用者介面與管理功能來支援企業安全需求。

在下一代防火牆上市前,我對現有或近期的IDS部署應有何作為?

放棄「IDS everywhere」(全面入侵偵測系統)部署計劃,把IDS投資放在建立信賴界線(直接在防火牆內)與放置高價值伺服器的LAN範圍內。

採購安全管理產品來降低IDS警報資料的數量,並關連至防火牆與漏洞評估記錄,或者將IDS監控外包給安全服務供應商。

將網路型IDS的預算改用在高價值伺服器上的主機型入侵防範,以及用在自動化漏洞評估與更正流程及產品上。

http://taiwan.cnet.com/enterprise/technology/0,2000062852,20084565,00.htm

贊助商連結


artie
2003-10-23, 01:08 PM
獲益良多,感謝!

misol
2003-10-23, 01:51 PM
那你的心得呢?純轉貼?貼個網址算了.....

天氣預報
2003-10-23, 03:32 PM
最初由 misol 發表
那你的心得呢?純轉貼?貼個網址算了.....

我認同這篇文章我才會轉貼到這的

本來就可以貼這個不是嗎?

貼網址也許網頁一變動就找不到了

如此寶貴的資料當然貼全文

misol
2003-10-23, 04:35 PM
http://www.pczone.com.tw/showthread.php?t=101233

天氣預報
2003-10-23, 05:44 PM
最初由 misol 發表
http://www.pczone.com.tw/showthread.php?t=101233

我不想在這個板爭辯無關於這個板的話題

何況我貼的文章內容性質已經很清楚了

不是像SARS那種只是純報導沒內容的東西

有沒有問題土大自會定奪

請不要再貼一些無關防毒防駭板的東西了

謝謝

misol
2003-10-23, 11:20 PM
基本上....

一個討論區,如果沒有討論的功能,還成討論區?
一個發言者,如果容不下其他的言論,豈不是一言堂?
純轉貼他人發表的文章,沒有自己的感想,沒有自己的見解,那這種文應該丟到
網 路 [ 佳 作 / 奇 文 ] 這個版去....而且也還是要有自己的見解.....
而不是放在討論區中.....而沒有討論的事實......
而且振振有詞

至於,土兄會不會定奪?
基本上,如果大家都像我有那麼多美國時間來回你......就可能會吧

至於我離題的事實?
請按"告"
謝謝

shenhwang
2003-10-24, 02:15 PM
因為我也是媒體工作者 所以這樣的引述雖然是好意 不過各家媒體都有著作權聲明
有時到看自己寫的東西 莫明其妙就被別人引用 還是會覺得怪怪的

下面從cnet貼的東西也說的很清楚 要轉貼要獲得cnet同意 如果沒有的話 肯定是違法行為
所以我建議只貼連結 有興趣的人自己去看 cnet的連結不像一般的新聞網頁 連結應該都不會變

另外 發表看法也蠻不錯的 討論區就是要互動 大家都可以表達自己的看法

~~~~~~~~~~~~~~~以下轉載自cnet
http://taiwan.cnet.com/services/aboutus/copyright.htm

CNET 著作權聲明
本站所有編輯內容及圖片,都受美國著作權及國際條約的保護,由CNET. Inc保留一切權利,未經過書面同意不得複製。CNET編輯內容及圖片,任何網路上的再使用行為都被嚴格禁止。CNET網站的內容只可供作非網路的資訊及非商業用途,惟需在圖文不得變更、所有著作權及其他聲明保留,並獲得CNET同意的條件下為之。

CNET內容的同意使用,乃按件行之。CNET歡迎來信要求同意。如欲尋求同意請來信:marketing.tw@asia.cnet.com 。

請勿擅自複製或改寫CNET用以製作網頁的HTML程式碼,此亦在CNET著作權涵蓋範圍內。

~~~~~~~~刪了一些~~~~~

CNET 內文直接引述
如因宣傳內容或用於產品的行銷包裝,而欲直接引述CNET的編輯內容,CNET要求您必須提出欲引述內容,以及與CNET簽定同意書,聲明您必會連同上下文,正確引述該文,並且指明CNET為來源出處。

但請注意,CNET並不為其他產品或服務提供保證。


如果您確信您的著作權內容非經允許在本站使用,請通知marketing.tw@asia.cnet.com

天氣預報
2003-10-24, 03:17 PM
最初由 shenhwang 發表
因為我也是媒體工作者 所以這樣的引述雖然是好意 不過各家媒體都有著作權聲明
有時到看自己寫的東西 莫明其妙就被別人引用 還是會覺得怪怪的

下面從cnet貼的東西也說的很清楚 要轉貼要獲得cnet同意 如果沒有的話 肯定是違法行為
所以我建議只貼連結 有興趣的人自己去看 cnet的連結不像一般的新聞網頁 連結應該都不會變

另外 發表看法也蠻不錯的 討論區就是要互動 大家都可以表達自己的看法

~~~~~~~~~~~~~~~以下轉載自cnet
http://taiwan.cnet.com/services/aboutus/copyright.htm

CNET 著作權聲明
本站所有編輯內容及圖片,都受美國著作權及國際條約的保護,由CNET. Inc保留一切權利,未經過書面同意不得複製。CNET編輯內容及圖片,任何網路上的再使用行為都被嚴格禁止。CNET網站的內容只可供作非網路的資訊及非商業用途,惟需在圖文不得變更、所有著作權及其他聲明保留,並獲得CNET同意的條件下為之。

CNET內容的同意使用,乃按件行之。CNET歡迎來信要求同意。如欲尋求同意請來信:marketing.tw@asia.cnet.com 。

請勿擅自複製或改寫CNET用以製作網頁的HTML程式碼,此亦在CNET著作權涵蓋範圍內。

~~~~~~~~刪了一些~~~~~

CNET 內文直接引述
如因宣傳內容或用於產品的行銷包裝,而欲直接引述CNET的編輯內容,CNET要求您必須提出欲引述內容,以及與CNET簽定同意書,聲明您必會連同上下文,正確引述該文,並且指明CNET為來源出處。

但請注意,CNET並不為其他產品或服務提供保證。


如果您確信您的著作權內容非經允許在本站使用,請通知marketing.tw@asia.cnet.com

ok
其實我貼東西
都有貼原始來源連結網址
不過CNET的好東西實在是很多