美國(guó)《網(wǎng)絡(luò)世界》網(wǎng)站對(duì)入侵防御系統(tǒng)(IPS)是采用最佳的產(chǎn)品還是集成的解決方案展這個(gè)老問(wèn)題開了爭(zhēng)論。持最佳產(chǎn)品觀點(diǎn)的人認(rèn)為����,安全是一個(gè)需要盡可能的最佳點(diǎn)的地方����。但是,集成的解決方案提供商認(rèn)為�����,日益發(fā)展的威脅需要全面的觀點(diǎn)����。這個(gè)觀點(diǎn)要考慮更多的因素才能實(shí)現(xiàn)。下面是正反兩方的觀點(diǎn)���。讀者可以判斷誰(shuí)的觀點(diǎn)正確�����。
觀點(diǎn)1.需要最佳產(chǎn)品
Sourcefire創(chuàng)始人和首席技術(shù)官馬丁·勒施(Martin Roesch)撰文指出���,10多年以來(lái)��,我們一直聽說(shuō)有關(guān)“X安全技術(shù)”如何消失在“Y設(shè)備”中的事情����,因?yàn)橘?gòu)買者喜歡融合���。但是�����,盡管有預(yù)言者的擔(dān)保���,有一個(gè)事實(shí)是不變的 -- 對(duì)于最佳的入侵防御系統(tǒng)仍有大量的和日益增長(zhǎng)的需求。
勒施說(shuō)�����,我還告訴你們一個(gè)秘密:你們可以在一個(gè)集成的解決方案中有最佳的入侵防御系統(tǒng)�����。然而,首先���,讓我們談?wù)劄槭裁醋罴训娜肭址烙到y(tǒng)比僅為一個(gè)融合的解決方案的一部分開發(fā)的入侵防御系統(tǒng)更好。
為什么?因?yàn)樽罴呀鉀Q方案可提供高可靠性產(chǎn)品���。這包括:
保護(hù):能夠以高度的準(zhǔn)確性檢測(cè)到所有的攻擊�����,同時(shí)讓攻擊很難避開檢測(cè)�����。
性能:認(rèn)真地設(shè)計(jì)設(shè)備以便以最大的性能提供最大的能力�����。
靈活性:設(shè)備把重點(diǎn)放在做好幾件事上并且要非常靈活�����。一個(gè)很好的例子是我們Sourcefire公司的下一代入侵防御系統(tǒng)������?梢钥隙ǖ卣f(shuō),這是同類產(chǎn)品中最好的可配置的解決方案���。
·研究:一個(gè)專門的研究團(tuán)隊(duì)提供持續(xù)不斷的更新(入侵探測(cè)系統(tǒng)/入侵防御系統(tǒng)����、殺毒軟件�����、安全漏洞管理等)支持這個(gè)系統(tǒng)�。這個(gè)團(tuán)隊(duì)負(fù)責(zé)開發(fā)內(nèi)容和實(shí)施最初的研究以便保持高級(jí)的能力。
當(dāng)你查看Sourcefire提供的解決方案的時(shí)候����,你能夠看到所有這些起作用的概念。在最新一輪NSS測(cè)試中���,可以看到 Sourcefire的入侵防御系統(tǒng)解決方案提供最佳的檢測(cè)能力�����、防躲避能力��、安全漏洞覆蓋范圍以及任何入侵防御系統(tǒng)的性能���。不僅如此����,我們繼續(xù)研究新的檢測(cè)方法并且利用一切機(jī)會(huì)擴(kuò)展基礎(chǔ)的Snort(嗅探)引擎功能以保持我們?cè)谶@個(gè)行業(yè)的領(lǐng)先地位�。
集成的解決方案有它們工作所依據(jù)的一套不同的參數(shù)��。集成的系統(tǒng)采用類似入侵防御系統(tǒng)的功能����,其目標(biāo)一般不是提供最佳的入侵防御系統(tǒng),而是提供一個(gè)“足夠好”的功能以及其它一些核心功能并且以較低的成本提供許多功能�����。這個(gè)理由是����,如果安全能夠讓人們?cè)?ldquo;一個(gè)屋檐下”輕松地獲得和管理,我們將看到更多地應(yīng)用擴(kuò)展的功能�,從而實(shí)現(xiàn)更好的安全。
這在邏輯上是有意義的���。經(jīng)驗(yàn)表明��,你可以集成商品功能并且不犧牲太多的功能��。遺憾的是���,當(dāng)隨意通過(guò)糟糕的連接技術(shù)進(jìn)行集成或者如果要求一個(gè)設(shè)備集成太多的功能的話����,這個(gè)模式就垮掉了�。
一般來(lái)說(shuō),一個(gè)設(shè)備的功能越多�,它就需要更大的計(jì)算能力。當(dāng)設(shè)備不可避免地超過(guò)負(fù)荷并且影響網(wǎng)絡(luò)性能的時(shí)候�����,要解決的第一件事情就是這個(gè)解決方案提供的保護(hù)質(zhì)量���。用戶很快失去他們購(gòu)買這個(gè)解決方案的最初的理由�����。
統(tǒng)一威脅管理(UTM)工具在這方面是最糟糕的����。安全領(lǐng)域太頻繁地從“保護(hù)我們避開我們面臨的危險(xiǎn)”的模式轉(zhuǎn)向“保護(hù)我們避開互聯(lián)網(wǎng)上的10大威脅和不影響任何事情”的模式。
一些廠商試圖通過(guò)制造客戶化的硬件和芯片來(lái)解決這個(gè)問(wèn)題�����。他們要以勉強(qiáng)接受的性能增加大量的檢測(cè)功能����。但是,這樣做通常要付出保護(hù)質(zhì)量和靈活性下降的代價(jià)�。
綜上所述����,最佳的技術(shù)可以是一個(gè)集成的解決方案的一部分并且能夠發(fā)揮很好的功能,但是���,它要使用與上述完全不同的觀點(diǎn)來(lái)建造�。Sourcefire建造下一代防火墻的方法是以有效的和強(qiáng)有力的方法把經(jīng)過(guò)證明的最佳技術(shù)集中在一起���,同時(shí)不犧牲檢測(cè)質(zhì)量����、性能或者靈活性。
我們認(rèn)為�����,這種不犧牲產(chǎn)品質(zhì)量的解決這個(gè)問(wèn)題的方法是建造安全平臺(tái)的一個(gè)新的模式��。這個(gè)平臺(tái)能夠運(yùn)行單獨(dú)的最佳技術(shù)���,或者作為一個(gè)集成的解決方案針對(duì)目前的威脅以后可用的最佳保護(hù)�。
