曾經(jīng)提到網(wǎng)絡安全，很多人的第一反應就是防病毒、防火墻、IPS(IDS)這“老三樣”。入侵防御系統(tǒng)(Intrusion Prevention System，簡稱“IPS”)作為過去幾十年里應用最廣泛、最成熟的網(wǎng)絡安全產(chǎn)品之一，在持續(xù)監(jiān)控可疑的惡意活動，檢測和預防網(wǎng)絡入侵方面發(fā)揮了巨大作用。不過，在企業(yè)數(shù)字化應用日益增多、新安全威脅不斷涌現(xiàn)、網(wǎng)絡邊界逐漸打破的今天，IPS能否延續(xù)過去的風光？新一代IPS產(chǎn)品(技術)將如何發(fā)展？

1. 結合人工智能

人工智能(AI)正滲入到生活的方方面面，還滲入到眾多安全工具中，其中包括IPS。AI大大解放了IPS，因為它可以自動處理許多檢測步驟;能夠發(fā)現(xiàn)異常的網(wǎng)絡行為，并節(jié)省瀏覽日志的時間。

DNSFilter數(shù)據(jù)科學主管Adam Spotton表示，AI在網(wǎng)絡安全發(fā)揮著重要作用，因為它依托設計人員的專長，可以自動做出決策。然而，AI并非可以作為一種現(xiàn)成解決方案來輕松部署。企業(yè)需認真考慮數(shù)據(jù)收集和訓練過程的每一步，以便模型從實驗室發(fā)布到實際環(huán)境后有效且可靠。這些考慮因素包括：敲定威脅識別問題、收集數(shù)據(jù)以便能夠訓練數(shù)據(jù)、迭代測試及改進，以及解釋發(fā)現(xiàn)的結果。

如果做法得當，AI是一種強大的工具，不僅可以用來檢測現(xiàn)有威脅，還可以用來檢測不斷演變的新威脅。比如說，基于AI的威脅檢測表明，與傳統(tǒng)的手動靜態(tài)威脅源相比，它可以發(fā)現(xiàn)的威脅多出60%。IPS供應商正逐漸將AI整合到其工具中。

2. 與防護體系融合

正如IPS在整合更多的AI功能，現(xiàn)在一股愈演愈烈的趨勢是：IPS工具本身被整合到更龐大的綜合安全體系中。這也是安全行業(yè)整體的發(fā)展趨勢。供應商不是為防病毒、反惡意軟件、垃圾郵件檢測、IPS、IDS等推出單獨的產(chǎn)品，而是將它們打包到更加體系化的整體解決方案中。

例如，安全信息和事件管理(SIEM)工具常常添加IPS功能。Paul Caiazzo是提供包含IPS功能SIEM托管服務的咨詢顧問，他表示，由于企業(yè)改用遠程辦公環(huán)境造成了更多的網(wǎng)絡異常行為，許多企業(yè)需要優(yōu)化和調整SIEM平臺方面的專業(yè)知識，才能充分利用先進功能。

3. 勒索軟件防御

鑒于勒索軟件已成為一大威脅，許多企業(yè)開始意識到必須部署工具以防止勒索軟件入侵。Caiazzo表示，攻擊的成本隨攻擊時間的增加而增加，因此盡快識別威脅符合企業(yè)的最佳利益，將得逞的勒索軟件攻擊影響降至最低，需要盡早檢測到攻擊。

作為勒索軟件防御和檢測套件而銷售的眾多工具含有IPS功能，綜合分析SIEM、IPS及其他系統(tǒng)提供的數(shù)據(jù)，可以識別潛在的攻擊途徑以免被利用，或者在早期階段識別隱蔽的攻擊，從而幫助企業(yè)搜尋威脅，比攻擊者搶先一步采取安全措施。

4. 擴展防護邊界

在傳統(tǒng)IPS工具應用最廣泛的時期，部署在網(wǎng)絡邊界是其最主要的應用形態(tài)。只要企業(yè)留意網(wǎng)絡邊緣，并防止任何威脅滲入，就可以確保安全。

這種應用模式正在改變，許多企業(yè)使用以邊界為中心的網(wǎng)絡安全策略，該策略對網(wǎng)絡邊界內部的潛在惡意流量幾乎毫無可見性或控制度，這是單層防御機制。這種單層防御機制最終可能成為安全策略的最大風險點之一。

圍繞企業(yè)總部或數(shù)據(jù)中心的IPS功能仍然至關重要，但它需要得到一系列更廣泛功能的支持，以應對日益遠程和分散的邊界，因此縱深防御已成為新常態(tài)?？v深防御需要多層安全控制，以提高如果一層被擊敗，另一層可識別并阻止攻擊的可能性。

5. IPS的云化應用

IPS過去安裝在本地，由內部IT人員來維護和管理。這種模式仍有一定的市場。然而，當前，云工具基本上占據(jù)了主導地位。擴展檢測和響應(XDR)套件提供廣泛的基于云的端點保護，并包括IPS功能。同時，傳統(tǒng)的IPS能力更容易被放到云端，從而更便捷地以服務化的形式提供給用戶。

參考鏈接：https://www.datamation.com/security/intrusion-prevention-system-trends/