两周之前,记者曾发表了一篇关于IPS的技术特写,其中对于当前安全设备的漏报与误报,做了一些分析。不想一石激起千层浪,多日来小编的信箱快被发爆了,有认可的、有拍砖的、还有要拉出去“单练”的。在此,笔者希望能够借道评论栏目,倾吐一下自己的感受。(类似邮件恕不能一一回复)
第一句话:漏报与误报是永远存在且不可避免的。
因为当前的这些安全设备,无论是防火墙、IDS还是IPS,只要是基于特征匹配的原理,都会出现误报与漏报的问题。因此笔者不接受有些读者说的,可以忽略不计的说法。因为不论是NSS还是网络世界评测实验室,目前的第三方评测机构皆无法提供证据。记者也希望广大读者应该理解,误报漏报的存在是客观的,但不一定意味着致命缺陷!
第二句话:接受漏还是接受误?请平衡考虑。
既然明确了漏报与误报的客观存在,那么用户自身必须有一个平衡考虑。这并不是危言耸听,国内读者可以访问一下国外或者港台地区的安全类BBS,上面对于平衡的考虑五花八门。粗略意见是:对于IDS设备,可以多误少漏。毕竟是off line设备,误报多仅仅是烦,但错不致死;对于IPS设备,可以多漏少误,因为on line设备一旦采取行动无法挽回,还是宽大些好。
第三句话:Load-balance也要讨巧。
用户担心安全设备出事故,但前提是自己要知道自身应用的细节。请读者考虑个案例:如果某用户的系统中仅仅采用了Oracle的数据库,那么是否可以把安全设备中的针对SQL攻击的过滤器关掉?因为即便公司某个内贼出于某些意图,自己编写了一个SQL攻击程序,是不是也不会带来损失?相应的,通过减少安全设备的特征匹配数量,恰恰是降低误报率,提高性能的捷径。像这样的细节,非常的多,读者都了解么?
第四句话:误信浮夸,自己明白。
不多说,再举个例子:各家安全设备厂商都宣称自己支持IPS/IDS欺诈攻击。那么到底是仅仅停留在IP层面,还是TCP层面也覆盖?同样,反欺诈打开后的性能下降有多少,是否成为“可远观而不可亵玩”,请读者自己留个心眼。
啰里啰唆一大篇,目的只有一个:希望国内用户能够关心安全、用好安全设备、实现安全保障。(当然还要关心《网络世界》安全版啦……一点点私心)最后,还有哪位要灌水的,请网站拍砖。