美國(guó)《網(wǎng)絡(luò)世界》網(wǎng)站對(duì)入侵防御系統(tǒng)(IPS) 是采用最佳的產(chǎn)品還是集成的解決方案展這個(gè)老問(wèn)題開(kāi)了爭(zhēng)論。持最佳產(chǎn)品觀點(diǎn)的人認(rèn)為，安全是一個(gè)需要盡可能的最佳點(diǎn)的地方。但是，集成的解決方案提供商認(rèn)為，日益發(fā)展的威脅需要全面的觀點(diǎn)。這個(gè)觀點(diǎn)要考慮更多的因素才能實(shí)現(xiàn)。下面是正反兩方的觀點(diǎn)。讀者可以判斷誰(shuí)的觀點(diǎn)正確。

觀點(diǎn)1.需要最佳產(chǎn)品

[[52797]]

Sourcefire創(chuàng)始人和首席技術(shù)官馬丁·勒施(Martin Roesch)

Sourcefire創(chuàng)始人和首席技術(shù)官馬丁·勒施(Martin Roesch)撰文指出，10多年以來(lái)，我們一直聽(tīng)說(shuō)有關(guān)“X安全技術(shù)”如何消失在“Y設(shè)備”中的事情，因?yàn)橘?gòu)買(mǎi)者喜歡融合。但是，盡管有預(yù)言者的擔(dān)保，有一個(gè)事實(shí)是不變的 -- 對(duì)于最佳的入侵防御系統(tǒng)仍有大量的和日益增長(zhǎng)的需求。

勒施說(shuō)，我還告訴你們一個(gè)秘密：你們可以在一個(gè)集成的解決方案中有最佳的入侵防御系統(tǒng)。然而，首先，讓我們談?wù)劄槭裁醋罴训娜肭址烙到y(tǒng)比僅為一個(gè)融合的解決方案的一部分開(kāi)發(fā)的入侵防御系統(tǒng)更好。

為什么?因?yàn)樽罴呀鉀Q方案可提供高可靠性產(chǎn)品。這包括：

·保護(hù)：能夠以高度的準(zhǔn)確性檢測(cè)到所有的攻擊，同時(shí)讓攻擊很難避開(kāi)檢測(cè)。

·性能：認(rèn)真地設(shè)計(jì)設(shè)備以便以最大的性能提供最大的能力。

·靈活性：設(shè)備把重點(diǎn)放在做好幾件事上并且要非常靈活。一個(gè)很好的例子是我們Sourcefire公司的下一代入侵防御系統(tǒng)?？梢钥隙ǖ卣f(shuō)，這是同類(lèi)產(chǎn)品中最好的可配置的解決方案。

·研究：一個(gè)專(zhuān)門(mén)的研究團(tuán)隊(duì)提供持續(xù)不斷的更新(入侵探測(cè)系統(tǒng)/入侵防御系統(tǒng)、殺毒軟件、安全漏洞管理等)支持這個(gè)系統(tǒng)。這個(gè)團(tuán)隊(duì)負(fù)責(zé)開(kāi)發(fā)內(nèi)容和實(shí)施最初的研究以便保持高級(jí)的能力。

當(dāng)你查看Sourcefire提供的解決方案的時(shí)候，你能夠看到所有這些起作用的概念。在最新一輪NSS測(cè)試中，可以看到Sourcefire的入侵防御系統(tǒng)解決方案提供最佳的檢測(cè)能力、防躲避能力、安全漏洞覆蓋范圍以及任何入侵防御系統(tǒng)的性能。不僅如此，我們繼續(xù)研究新的檢測(cè)方法并且利用一切機(jī)會(huì)擴(kuò)展基礎(chǔ)的Snort(嗅探)引擎功能以保持我們?cè)谶@個(gè)行業(yè)的領(lǐng)先地位。

集成的解決方案有它們工作所依據(jù)的一套不同的參數(shù)。集成的系統(tǒng)采用類(lèi)似入侵防御系統(tǒng)的功能，其目標(biāo)一般不是提供最佳的入侵防御系統(tǒng)，而是提供一個(gè) “足夠好”的功能以及其它一些核心功能并且以較低的成本提供許多功能。這個(gè)理由是，如果安全能夠讓人們?cè)凇耙粋€(gè)屋檐下”輕松地獲得和管理，我們將看到更多地應(yīng)用擴(kuò)展的功能，從而實(shí)現(xiàn)更好的安全。

這在邏輯上是有意義的。經(jīng)驗(yàn)表明，你可以集成商品功能并且不犧牲太多的功能。遺憾的是，當(dāng)隨意通過(guò)糟糕的連接技術(shù)進(jìn)行集成或者如果要求一個(gè)設(shè)備集成太多的功能的話，這個(gè)模式就垮掉了。

一般來(lái)說(shuō)，一個(gè)設(shè)備的功能越多，它就需要更大的計(jì)算能力。當(dāng)設(shè)備不可避免地超過(guò)負(fù)荷并且影響網(wǎng)絡(luò)性能的時(shí)候，要解決的第一件事情就是這個(gè)解決方案提供的保護(hù)質(zhì)量。用戶很快失去他們購(gòu)買(mǎi)這個(gè)解決方案的最初的理由。

統(tǒng)一威脅管理(UTM)工具在這方面是最糟糕的。安全領(lǐng)域太頻繁地從“保護(hù)我們避開(kāi)我們面臨的危險(xiǎn)”的模式轉(zhuǎn)向“保護(hù)我們避開(kāi)互聯(lián)網(wǎng)上的10大威脅和不影響任何事情”的模式。

一些廠商試圖通過(guò)制造客戶化的硬件和芯片來(lái)解決這個(gè)問(wèn)題。他們要以勉強(qiáng)接受的性能增加大量的檢測(cè)功能。但是，這樣做通常要付出保護(hù)質(zhì)量和靈活性下降的代價(jià)。

綜上所述，最佳的技術(shù)可以是一個(gè)集成的解決方案的一部分并且能夠發(fā)揮很好的功能，但是，它要使用與上述完全不同的觀點(diǎn)來(lái)建造。Sourcefire建造下一代防火墻的方法是以有效的和強(qiáng)有力的方法把經(jīng)過(guò)證明的最佳技術(shù)集中在一起，同時(shí)不犧牲檢測(cè)質(zhì)量、性能或者靈活性。

我們認(rèn)為，這種不犧牲產(chǎn)品質(zhì)量的解決這個(gè)問(wèn)題的方法是建造安全平臺(tái)的一個(gè)新的模式。這個(gè)平臺(tái)能夠運(yùn)行單獨(dú)的最佳技術(shù)，或者作為一個(gè)集成的解決方案針對(duì)目前的威脅以后可用的最佳保護(hù)。

#p#

觀點(diǎn)2：集成是最好的

Palo Alto Networks高級(jí)安全分析師韋德·威廉遜(Wade Williamson)

Palo Alto Networks高級(jí)安全分析師韋德·威廉遜(Wade Williamson)撰文指出，對(duì)于入侵防御系統(tǒng)采取集成的方法還是最佳技術(shù)的方法的爭(zhēng)論是一個(gè)虛假的選擇。目前，對(duì)于入侵防御系統(tǒng)采取的最佳的方法是集成的方法。威脅環(huán)境和安全行業(yè)本身都支持這個(gè)觀點(diǎn)。

10多年來(lái)，安全行業(yè)一直試圖使用一種新的專(zhuān)用設(shè)備解決每一個(gè)新的安全挑戰(zhàn)。這個(gè)方法在操作上是不可行的并且最終是無(wú)效的。單獨(dú)的系統(tǒng)造成了信息豎井，導(dǎo)致設(shè)備在每一個(gè)網(wǎng)段上蔓延，并產(chǎn)生管理和運(yùn)營(yíng)開(kāi)銷(xiāo)。

同樣重要的是，隨著攻擊技術(shù)日益高級(jí)，單獨(dú)的解決方案缺少檢測(cè)和修復(fù)復(fù)雜的現(xiàn)代攻擊所需要的重要的背景信息。

現(xiàn)代的IT威脅的長(zhǎng)期發(fā)展已經(jīng)超出了單獨(dú)的入侵防御系統(tǒng)能夠解決的攻擊類(lèi)型。現(xiàn)在的攻擊者并不把自己限制在僅僅利用一個(gè)安全漏洞方面。相反，他們利用許多安全漏洞、惡意軟件、遠(yuǎn)程接入攻擊、被感染的URL以及已知的或者客戶化的威脅。利用各種應(yīng)用程序能夠進(jìn)一步d利用上述威脅。這些應(yīng)用程序能夠代理、秘密傳送和加密威脅以避開(kāi)傳統(tǒng)的安全措施

要阻止這些類(lèi)型的威脅，我們必須保證通訊本身的可見(jiàn)性，控制所有的各種威脅規(guī)定并且完全在相關(guān)的環(huán)境中做這個(gè)事情。單獨(dú)的入侵防御系統(tǒng)不能做這個(gè)事情。這是所有的堅(jiān)定的入侵防御系統(tǒng)廠商或者被大型網(wǎng)絡(luò)安全廠商收購(gòu)或者開(kāi)發(fā)自己的下一代防火墻的主要原因。

威廉遜說(shuō)，我可以肯定，上述說(shuō)法會(huì)引起一些不滿。因此，讓我提供一些信息來(lái)支持這個(gè)觀點(diǎn)。首席，目前對(duì)網(wǎng)絡(luò)威脅的任何討論都應(yīng)該從威脅如果避開(kāi)安全措施開(kāi)始。一個(gè)入侵防御系統(tǒng)將漏掉它看不到的或者找錯(cuò)地方的威脅。因此，在通訊還沒(méi)有達(dá)到入侵防御系統(tǒng)之前，這場(chǎng)戰(zhàn)斗已經(jīng)失敗了。集成的解決方案正是在這個(gè)地方提供單獨(dú)的入侵防御系統(tǒng)缺少的重要的環(huán)境信息和控制能力。

例如，考慮如何定期使用應(yīng)用程序隱藏威脅。他們能夠加密通訊、跳點(diǎn)端口或者在其它應(yīng)用程序中建立隧道以便出現(xiàn)在人們意想不到的地方?？紤]到入侵防御系統(tǒng)特征一般是根據(jù)端口應(yīng)用的(例如在端口Y至端口Z使用X特征)，這是很重要的。如果這個(gè)威脅出現(xiàn)在預(yù)料之外的端口，那么，這個(gè)特征就不會(huì)執(zhí)行。

除了躲避應(yīng)用程序之外，代理程序、遠(yuǎn)程桌面工具、壓縮的通訊以及UltraSurf和Hamachi等專(zhuān)用饒過(guò)工具都能幫助攻擊者避開(kāi)檢測(cè)。相比之下，下一代防火墻能檢測(cè)所有的通訊，無(wú)論是什么端口，因此，避開(kāi)端口是無(wú)效的。而且，它能不斷地解碼協(xié)議和應(yīng)用程序，因此，通訊不能隱藏其中并且控制所有的應(yīng)用程序類(lèi)型。這樣，想饒過(guò)檢測(cè)的通訊就不允許通過(guò)網(wǎng)絡(luò)。

對(duì)于專(zhuān)用的入侵防御系統(tǒng)來(lái)說(shuō)，問(wèn)題還不止是應(yīng)用程序。一個(gè)現(xiàn)代的網(wǎng)絡(luò)威脅將融合安全漏洞、各種類(lèi)型的惡意軟件以及遠(yuǎn)程網(wǎng)站和服務(wù)器。所有這些組件一起作為這個(gè)攻擊的一個(gè)組成部分，每一個(gè)部分對(duì)于安全行業(yè)來(lái)說(shuō)可能是已知的或者未知的。單獨(dú)的入侵防御系統(tǒng)僅知道其中的部分組件(已知的安全漏洞)，而漏掉其它的組件。

事實(shí)上，對(duì)于不考慮現(xiàn)代惡意軟件的復(fù)雜性的現(xiàn)代“入侵防御”措施很難想象一種合理的方法。現(xiàn)代惡意軟件通常感染代理程序和正在運(yùn)行的控制機(jī)制。一個(gè)入侵防御系統(tǒng)可以在這里或者那里檢測(cè)到奇特的病毒，但是，不能檢測(cè)出對(duì)網(wǎng)絡(luò)構(gòu)成威脅的數(shù)百萬(wàn)惡意軟件樣本。一個(gè)入侵防御系統(tǒng)也許能檢測(cè)少數(shù)已知的惡意 URL，但是，缺少數(shù)百萬(wàn)網(wǎng)站的每日更新以便跟蹤已經(jīng)被感染或者正在發(fā)布威脅的網(wǎng)站。在現(xiàn)代威脅防御中，關(guān)聯(lián)的環(huán)境是王。單一功能的解決方案不起作用。

而且，入侵防御系統(tǒng)產(chǎn)品僅限于已知的安全漏洞。雖然所有的現(xiàn)代入侵防御系統(tǒng)解決方案都使用安全漏洞特征，但是，有些特征仍是以已知的東西為基礎(chǔ)的。任何真正的未知的特征都會(huì)漏掉。

惡意的指揮與控制通訊定期在網(wǎng)絡(luò)上顯示為未知的通訊。未知的或者沒(méi)有分類(lèi)的URL可能是一個(gè)攻擊的跡象，因?yàn)楣粽邔⒀杆俳⒑统蜂N(xiāo)URL使他們很難被跟蹤。IT需要檢測(cè)未知文件中惡意行為的能力。還有許多超出入侵防御系統(tǒng)能力的事情。但是，這些事情對(duì)于阻止入侵者都是非常重要的。

因此，有關(guān)單獨(dú)的和集成的入侵防御系統(tǒng)的爭(zhēng)論基本上解決了(至少暫時(shí)是如此)。隨著壞人從單個(gè)攻擊的安全漏掉向多方位的和多向量的威脅發(fā)展，如果我們?nèi)藶榈匕盐覀兊木W(wǎng)絡(luò)安全智能和強(qiáng)制執(zhí)行措施分割為專(zhuān)門(mén)的豎井，我們就會(huì)讓這些壞人占優(yōu)勢(shì)。(編譯/胡楊)