曾几何时,入侵检测系统(IDS)和入侵防御系统(IPS)被视为解决企业中检测攻击的常用办法。最近,IDS/IPS技术被抱怨为过时无用的技术。而真相其实介于这两种极端观点之间。事实上,IDS/IPS技术和其他类型的企业安全控件一起组成了全面检测攻击和漏洞系统的要素。
IDS/IPS技术现在的发展速度已经不及10年或15年前,仍然有很多针对这些技术的创新和改变可以改进其检测功能。这些技巧可以带你了解最新的创新,技术特性和其他值得注意的改变。
声誉服务
许多网络型和托管型IDS和IPS产品最近都增加了声誉服务。这些服务已经被其他类型的安全控件使用多年。声誉服务会收集域名,IP地址,应用协议,地理位置等要素的恶意属性。IDS/IPS系统随后会使用这些信息来确认用户的某项操作是否存在恶意。
这一信息对于优先IDS/IPS验证警告是特别有价值的。例如,一个IDS/IPS传感器或许会在用户进行各种非常规操作时发出警告,但是从这类IP地址的其他恶意操作历史记录如果可以证明该操作没有恶意,那么其优先级别就可能被提升。
无线IDS/IPS改进
无线IDS/IPS技术比其他形式的IDS/IPS技术要新,且随着无线技术的不断发展,无线IDS/IPS技术也在不断扩展。例如,无线IDS/IPS技术从IEEE 802.11n标准确定以来,就为这类传输提供支持。
企业使用无线IDS/IPS是一个很好的选择。如果企业支持无线,包括BYOD,那么更加需要监控员工操作以避免错误配置和攻击。如果企业不允许使用无线,无线IDS./IPS仍然可以检测到未授权的使用,甚至是帮助企业定位出正在进行的无线传输源自哪里。
SSL加密传输的在线检测
随着HTTPS和其他加密协议的增加,网络IDS/IPS传感器在检测网络流量方面的效率已经降低。尽管如此,少数网络IDS/IPS产品最近也增加了在线检测SSL加密数据的功能。这些产品基本上是起着代理的作用,创建两个SSL链接:一个从端口A发往IDS/IPS传感器,另一个从IDS/IPS传感器发往端口B,而不是让单独的SSL连接以加密形式从端口A发往端口B。本质上,这种设备可以解密,检测,然后对一个加密过的数据包进行再次加密,且不会影响传输速度。不过,它还是会将代理插入连接中,此代理有自己的安全和信任指示。企业或许更愿意使用托管型IDS/IPS而不是网络型IDS/IPS来检测SSL加密数据。
在虚拟环境中使用IDS/IPS
云计算的兴起对云安全提出了特定的需求。幸好,hypervisor(虚拟机管理器)为不同虚拟场景之间的网络行为监控提供了理想的场所。有些Hypervisor还自主提供入侵检测技术,而另外一些则会把内部检测收集的信息传送给外部安全控件,如标准的托管型IDS/IPS,用于检测和警告。企业应该确保当虚拟场景从一个云服务器转移到另一个云服务器时,其安全策略(包括IDS/IPS配置)也随着转移。