天氣預報
2003-10-22, 07:21 PM
入侵偵測應該只是功能,而非產品
Gartner/John Pescatore, Richard Stiennon, Ant Allan•陳奭璁譯 22/10/2003
入侵偵測長期佔據「Garter吹噓資訊安全排行榜」上,但這不代表它應該被淘汰。入侵偵測應該整合在其他產品內,而非單獨成為一項商品販售。
一堆問題
在最近一份報告「2003年資訊安全吹噓週期」(Hype Cycle for Information Security, 2003)中,Gartner指出「入侵偵測是個市場大敗筆(market failure),廠商現在極力鼓吹入侵預防系統,但這也已經觸礁。此一功能已經轉至防火牆產品內,一方面可進行內容的深度封包檢視,並阻擋惡意流量,同時也充當防毒作用。」
雖然這樣的說法有其研究根據,但卻也引來Gartner許多客戶的疑問:
我是否可乾脆放棄偵測網路入侵呢?
你應該繼續偵測入侵。不過,你不必投資於單獨網路化的入侵偵測系統(IDS)。網路化IDS有兩個重大缺點:
經常會有誤判狀況發生
若沒有大規模長期調校,網路型IDS每次產出的數千個警報中,只有一個是真正發生的入侵。
無法達到全線速度(wire speed)
多數網路型IDS產品無法即時偵測攻擊,且無法處理內部網路的高速流量。
第一項缺點導致企業放棄投資IDS,並把監控作業委外給安全服務供應商,或者還得另外投資安全管理產品來從一堆假警報中挖掘出真正需要處理的可能攻擊。第二項缺點顯示IDS純粹只能「見機反應」而已,等安全小組接到警報後,攻擊事件早已無法阻止。
IDS廠商是否已改善精確度與性能?
入侵偵測系統(IDS)廠商已經稍微改進了誤判的情況,比起第一代產品已經好了許多,但對於有些IDS廠商表示已經解決假警報問題,且執行速度也可達到線速(wire speed),這種說法還是有偏差。若他們可精確偵測到真正的攻擊,且以線速(wire speed)進行,那還需要發出警告嗎?為何不直接攔阻攻擊呢?
雖然假警報與性能問題主要出在網路型IDS上,主機型IDS則需朝「阻擋」方向進行,而非僅止於「發出警告」。
若會影響正常流量的話,我還應該阻擋網路攻擊嗎?
兩大最常見的安全產品分別是防火牆與防毒產品,兩者都可阻擋攻擊。由於網路型IDS製造的假警報已經多到令人不堪其擾,企業大概也不相信IDS有能力阻擋攻擊。不過,在2006年,多數企業會以新一代的防火牆來進行入侵偵測。
我們可將事件分為三種類別:
高度可信正常流量--允許通過
高度可信攻擊流量--阻擋
不明流量--紀錄或警示(入侵偵測)
防火牆已經可處理這樣的流程,不過多半是在網路通訊協定層面上。Web應用防火牆與其他深度封包偵測型產品已經可以在應用層面執行此一流程。由於演算法與高速網路安全處理器的進步,使得下一代防火牆將可在各個協定層面執行偵測與阻擋。成熟產品可望於2005年上市。
若僅只依賴防火牆來做入侵偵測,這會不會很像說:汽車因為已經有加竊盜鎖了,所以不需防盜器,?
若汽車防盜器每分鐘響十次,且車子被偷兩小時後才發出真正警告,那我們可說是個失敗的產品。IDS的效能必需改進後才能真正發揮作用。若性能改進了,IDS便可阻擋攻擊,防火牆將可吸收此一功能。
我該在內部網路使用IDS來偵測防火牆偵測不出的攻擊嗎?
多數內部攻擊事件都是合法用戶做了不該做的事情,或者濫用他們的權限。網路型IDS系統也無法偵測此類活動。網路IDS感應器可偵測內部駭客事件,但這種事件只佔了「內賊事件」的5%。
IDS用在內部網路上最有用之處是發現「有問題的」伺服器,或者說形跡可疑的伺服器。不過要設定內部網路裝設IDS感應器的成本與在同一節點上安裝線上(in-line)防火牆的成本相差不多。隨著此一技術的進步,下一代防火牆的性能與價格將可允許執行內部入侵偵測,降低蠕蟲與混和型攻擊的影響。利用防火牆來篩選應用層面連結將會需要在防火牆上設定許多規定。
若規則規定太多太龐大,是否會影響防火牆的性能與安全?
企業需要廣泛調校網路型IDS才能有效使用。這些調校行動基本上都是一些安全政策規定,用來判定哪些可通行,哪些需拒絕(拒絕則會發出警報),跟防火牆的作法類似。因此,任何應用層面安全措施所需的規定都會比單純的網路協定安全控制來得多。
下一代防火牆可以線速(wire speed)來部署複雜的規則。首要產品將可提供使用者介面與管理功能來支援企業安全需求。
在下一代防火牆上市前,我對現有或近期的IDS部署應有何作為?
放棄「IDS everywhere」(全面入侵偵測系統)部署計劃,把IDS投資放在建立信賴界線(直接在防火牆內)與放置高價值伺服器的LAN範圍內。
採購安全管理產品來降低IDS警報資料的數量,並關連至防火牆與漏洞評估記錄,或者將IDS監控外包給安全服務供應商。
將網路型IDS的預算改用在高價值伺服器上的主機型入侵防範,以及用在自動化漏洞評估與更正流程及產品上。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20084565,00.htm
贊助商連結
Gartner/John Pescatore, Richard Stiennon, Ant Allan•陳奭璁譯 22/10/2003
入侵偵測長期佔據「Garter吹噓資訊安全排行榜」上,但這不代表它應該被淘汰。入侵偵測應該整合在其他產品內,而非單獨成為一項商品販售。
一堆問題
在最近一份報告「2003年資訊安全吹噓週期」(Hype Cycle for Information Security, 2003)中,Gartner指出「入侵偵測是個市場大敗筆(market failure),廠商現在極力鼓吹入侵預防系統,但這也已經觸礁。此一功能已經轉至防火牆產品內,一方面可進行內容的深度封包檢視,並阻擋惡意流量,同時也充當防毒作用。」
雖然這樣的說法有其研究根據,但卻也引來Gartner許多客戶的疑問:
我是否可乾脆放棄偵測網路入侵呢?
你應該繼續偵測入侵。不過,你不必投資於單獨網路化的入侵偵測系統(IDS)。網路化IDS有兩個重大缺點:
經常會有誤判狀況發生
若沒有大規模長期調校,網路型IDS每次產出的數千個警報中,只有一個是真正發生的入侵。
無法達到全線速度(wire speed)
多數網路型IDS產品無法即時偵測攻擊,且無法處理內部網路的高速流量。
第一項缺點導致企業放棄投資IDS,並把監控作業委外給安全服務供應商,或者還得另外投資安全管理產品來從一堆假警報中挖掘出真正需要處理的可能攻擊。第二項缺點顯示IDS純粹只能「見機反應」而已,等安全小組接到警報後,攻擊事件早已無法阻止。
IDS廠商是否已改善精確度與性能?
入侵偵測系統(IDS)廠商已經稍微改進了誤判的情況,比起第一代產品已經好了許多,但對於有些IDS廠商表示已經解決假警報問題,且執行速度也可達到線速(wire speed),這種說法還是有偏差。若他們可精確偵測到真正的攻擊,且以線速(wire speed)進行,那還需要發出警告嗎?為何不直接攔阻攻擊呢?
雖然假警報與性能問題主要出在網路型IDS上,主機型IDS則需朝「阻擋」方向進行,而非僅止於「發出警告」。
若會影響正常流量的話,我還應該阻擋網路攻擊嗎?
兩大最常見的安全產品分別是防火牆與防毒產品,兩者都可阻擋攻擊。由於網路型IDS製造的假警報已經多到令人不堪其擾,企業大概也不相信IDS有能力阻擋攻擊。不過,在2006年,多數企業會以新一代的防火牆來進行入侵偵測。
我們可將事件分為三種類別:
高度可信正常流量--允許通過
高度可信攻擊流量--阻擋
不明流量--紀錄或警示(入侵偵測)
防火牆已經可處理這樣的流程,不過多半是在網路通訊協定層面上。Web應用防火牆與其他深度封包偵測型產品已經可以在應用層面執行此一流程。由於演算法與高速網路安全處理器的進步,使得下一代防火牆將可在各個協定層面執行偵測與阻擋。成熟產品可望於2005年上市。
若僅只依賴防火牆來做入侵偵測,這會不會很像說:汽車因為已經有加竊盜鎖了,所以不需防盜器,?
若汽車防盜器每分鐘響十次,且車子被偷兩小時後才發出真正警告,那我們可說是個失敗的產品。IDS的效能必需改進後才能真正發揮作用。若性能改進了,IDS便可阻擋攻擊,防火牆將可吸收此一功能。
我該在內部網路使用IDS來偵測防火牆偵測不出的攻擊嗎?
多數內部攻擊事件都是合法用戶做了不該做的事情,或者濫用他們的權限。網路型IDS系統也無法偵測此類活動。網路IDS感應器可偵測內部駭客事件,但這種事件只佔了「內賊事件」的5%。
IDS用在內部網路上最有用之處是發現「有問題的」伺服器,或者說形跡可疑的伺服器。不過要設定內部網路裝設IDS感應器的成本與在同一節點上安裝線上(in-line)防火牆的成本相差不多。隨著此一技術的進步,下一代防火牆的性能與價格將可允許執行內部入侵偵測,降低蠕蟲與混和型攻擊的影響。利用防火牆來篩選應用層面連結將會需要在防火牆上設定許多規定。
若規則規定太多太龐大,是否會影響防火牆的性能與安全?
企業需要廣泛調校網路型IDS才能有效使用。這些調校行動基本上都是一些安全政策規定,用來判定哪些可通行,哪些需拒絕(拒絕則會發出警報),跟防火牆的作法類似。因此,任何應用層面安全措施所需的規定都會比單純的網路協定安全控制來得多。
下一代防火牆可以線速(wire speed)來部署複雜的規則。首要產品將可提供使用者介面與管理功能來支援企業安全需求。
在下一代防火牆上市前,我對現有或近期的IDS部署應有何作為?
放棄「IDS everywhere」(全面入侵偵測系統)部署計劃,把IDS投資放在建立信賴界線(直接在防火牆內)與放置高價值伺服器的LAN範圍內。
採購安全管理產品來降低IDS警報資料的數量,並關連至防火牆與漏洞評估記錄,或者將IDS監控外包給安全服務供應商。
將網路型IDS的預算改用在高價值伺服器上的主機型入侵防範,以及用在自動化漏洞評估與更正流程及產品上。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20084565,00.htm
贊助商連結