該選入侵偵測還是入侵預防?
Jon Oltsik‧陳奭璁譯 2004/05/13
技術產業似乎特別喜歡選邊戰,總是為了特定產品或技術相互叫陣。
各類技術信仰之爭不斷出現,有人高喊Linux將超越Windows,或者ATM(非對稱傳輸)模式已死?或者網路電話時代將全面來臨。這些辯論的確可激起不少同仇敵慨,也替展覽會場上添增不少熱鬧的話題。
但除了娛樂效果外,信仰戰爭對生產力毫無貢獻,且只會讓使用者更加混淆。
資訊安全領域現在眼下就有這麼一齣經典的信仰大戰在進行著,兩邊陣營各自為「入侵偵測系統」(IDS)與「入侵預防系統」(IPS)的熟優熟劣爭執不下。
這項拉鋸戰自2003年中期之後轉為劇烈,當時有一批產業專家宣稱IDS將會被性能更優異的IPS系統取代。這樣的說法不但沒有釐清現實,反而令大眾更加混淆,導致使用者延後採購,網路沒有獲得應有的保護,因而間接衍生出許多攻擊受害事件。
現在我們就把話說清楚吧。
IPS(入侵預防系統)裝置是用來當作安全檢查哨,封包會先在閘道接受基本的過濾,但必需加上IPS系統才能進一步受到更嚴格的審訊。該裝置並不會逐一檢查每個潛在的安全威脅,而是尋找已知的問題與明顯可疑的行徑。
任何違反協定或內含惡意程式的封包都會被擋掉,二話不說。為了執行這樣的任務,IPS裝置在安全基礎設施中扮演了相當活躍的角色。他們成為企業網路中的一環,跟路由器與交換器一樣平起平坐地決定封包的動向。
IDS(入侵偵測系統)則是屬於比較被動的存在,很像大樓的保全攝影機一樣。保全攝影機雖然可拍下不法活動,但之後還是要靠人力才有辦法阻止入侵者。 IDS裝置的功能相當類似如此,他們從旁監視封包的活動,若有可疑行徑,他們就會發出警訊,接下來就看安全管理者出面檢視這些警訊,決定下一步的行動。
最有爭議的地方就出現在這裡:IPS(入侵預防系統)支持者認為現今的威脅必需立刻處理,他們認為IDS(入侵偵測系統)太過被動,無法檔下攻擊事件。他 們也認定IDS系統太過小題大作,動輒送出上千個誤判的警示,使得IT安全人員疲於奔命,必需大海撈針去判定哪些才是真正的威脅。
拜託,這些裝置被稱做入侵偵測系統正視因為他們就是用來偵測惡意活動,而非預防。保全攝影機不會因為有小偷闖入就變成了狼犬。至於誤判比率偏高,IDS原 本設計就是要「寧可錯殺一百,不肯錯放一人」,真的有那麼多誤判嗎?那就趕快調整系統,每個環境都不大一樣,你當然不能使用預設值,這會花點功夫,但調整 過後總是可以見效。
IDS(入侵偵測系統)擁護者自有他們的說法,他們認為IPS(入侵預防系統)裝置會拖慢網路速度,成為最容易故障的地方,或把合法的流量都攔了下來。這 些說法都有其根據,但卻已經不是事實。現今的IPS系統都建立在高速元件上,足堪趕得上任何網路的速度。為了保有可用性,IPS裝置也可叢集起來當作高可 用性保護,同時,系統也必需調校過才能確保不法程式會被擋下,而合法流量可安全通過。
IDS與IPS裝置一同聯手的效果最好,IPS裝置負責攔阻已知惡意程式碼,IDS則專門監看即時與歷史安全事件,換言之,這絕非「二選一」的決定,同時部署IDS與IPS裝置才能提供最高層級的安全保護。
企業的決策依據是商業需求,若是依照意識型態來決定技術議題,恐怕對企業雇主毫無益處。
Cite from: Taiwna.CNET.com
Original Link: 該選入侵偵測還是入侵預防?
Original Link: Holy Security Wars
Jon Oltsik‧陳奭璁譯 2004/05/13
技術產業似乎特別喜歡選邊戰,總是為了特定產品或技術相互叫陣。
各類技術信仰之爭不斷出現,有人高喊Linux將超越Windows,或者ATM(非對稱傳輸)模式已死?或者網路電話時代將全面來臨。這些辯論的確可激起不少同仇敵慨,也替展覽會場上添增不少熱鬧的話題。
但除了娛樂效果外,信仰戰爭對生產力毫無貢獻,且只會讓使用者更加混淆。
資訊安全領域現在眼下就有這麼一齣經典的信仰大戰在進行著,兩邊陣營各自為「入侵偵測系統」(IDS)與「入侵預防系統」(IPS)的熟優熟劣爭執不下。
這項拉鋸戰自2003年中期之後轉為劇烈,當時有一批產業專家宣稱IDS將會被性能更優異的IPS系統取代。這樣的說法不但沒有釐清現實,反而令大眾更加混淆,導致使用者延後採購,網路沒有獲得應有的保護,因而間接衍生出許多攻擊受害事件。
現在我們就把話說清楚吧。
IPS(入侵預防系統)裝置是用來當作安全檢查哨,封包會先在閘道接受基本的過濾,但必需加上IPS系統才能進一步受到更嚴格的審訊。該裝置並不會逐一檢查每個潛在的安全威脅,而是尋找已知的問題與明顯可疑的行徑。
任何違反協定或內含惡意程式的封包都會被擋掉,二話不說。為了執行這樣的任務,IPS裝置在安全基礎設施中扮演了相當活躍的角色。他們成為企業網路中的一環,跟路由器與交換器一樣平起平坐地決定封包的動向。
IDS(入侵偵測系統)則是屬於比較被動的存在,很像大樓的保全攝影機一樣。保全攝影機雖然可拍下不法活動,但之後還是要靠人力才有辦法阻止入侵者。 IDS裝置的功能相當類似如此,他們從旁監視封包的活動,若有可疑行徑,他們就會發出警訊,接下來就看安全管理者出面檢視這些警訊,決定下一步的行動。
最有爭議的地方就出現在這裡:IPS(入侵預防系統)支持者認為現今的威脅必需立刻處理,他們認為IDS(入侵偵測系統)太過被動,無法檔下攻擊事件。他 們也認定IDS系統太過小題大作,動輒送出上千個誤判的警示,使得IT安全人員疲於奔命,必需大海撈針去判定哪些才是真正的威脅。
拜託,這些裝置被稱做入侵偵測系統正視因為他們就是用來偵測惡意活動,而非預防。保全攝影機不會因為有小偷闖入就變成了狼犬。至於誤判比率偏高,IDS原 本設計就是要「寧可錯殺一百,不肯錯放一人」,真的有那麼多誤判嗎?那就趕快調整系統,每個環境都不大一樣,你當然不能使用預設值,這會花點功夫,但調整 過後總是可以見效。
IDS(入侵偵測系統)擁護者自有他們的說法,他們認為IPS(入侵預防系統)裝置會拖慢網路速度,成為最容易故障的地方,或把合法的流量都攔了下來。這 些說法都有其根據,但卻已經不是事實。現今的IPS系統都建立在高速元件上,足堪趕得上任何網路的速度。為了保有可用性,IPS裝置也可叢集起來當作高可 用性保護,同時,系統也必需調校過才能確保不法程式會被擋下,而合法流量可安全通過。
IDS與IPS裝置一同聯手的效果最好,IPS裝置負責攔阻已知惡意程式碼,IDS則專門監看即時與歷史安全事件,換言之,這絕非「二選一」的決定,同時部署IDS與IPS裝置才能提供最高層級的安全保護。
企業的決策依據是商業需求,若是依照意識型態來決定技術議題,恐怕對企業雇主毫無益處。
Cite from: Taiwna.CNET.com
Original Link: 該選入侵偵測還是入侵預防?
Original Link: Holy Security Wars
沒有留言:
張貼留言