觀點(diǎn)2:集成是最好的
Palo Alto Networks高級(jí)安全分析師韋德·威廉遜(Wade Williamson)撰文指出,對(duì)于入侵防御系統(tǒng)采取集成的方法還是最佳技術(shù)的方法的爭(zhēng)論是一個(gè)虛假的選擇��。目前�����,對(duì)于入侵防御系統(tǒng)采取的最佳的方法是集成的方法���。威脅環(huán)境和安全行業(yè)本身都支持這個(gè)觀點(diǎn)�����。
10多年來��,安全行業(yè)一直試圖使用一種新的專用設(shè)備解決每一個(gè)新的安全挑戰(zhàn)����。這個(gè)方法在操作上是不可行的并且最終是無效的。單獨(dú)的系統(tǒng)造成了信息豎井����,導(dǎo)致設(shè)備在每一個(gè)網(wǎng)段上蔓延,并產(chǎn)生管理和運(yùn)營(yíng)開銷����。
同樣重要的是,隨著攻擊技術(shù)日益高級(jí)���,單獨(dú)的解決方案缺少檢測(cè)和修復(fù)復(fù)雜的現(xiàn)代攻擊所需要的重要的背景信息�。
現(xiàn)代的IT威脅的長(zhǎng)期發(fā)展已經(jīng)超出了單獨(dú)的入侵防御系統(tǒng)能夠解決的攻擊類型����,F(xiàn)在的攻擊者并不把自己限制在僅僅利用一個(gè)安全漏洞方面。相反����,他們利 用許多安全漏洞��、惡意軟件����、遠(yuǎn)程接入攻擊���、被感染的URL以及已知的或者客戶化的威脅。利用各種應(yīng)用程序能夠進(jìn)一步d利用上述威脅����。這些應(yīng)用程序能夠代 理、秘密傳送和加密威脅以避開傳統(tǒng)的安全措施
要阻止這些類型的威脅���,我們必須保證通訊本身的可見性�,控制所有的各種威脅規(guī)定并且完全在相關(guān)的環(huán)境中做這個(gè)事情�����。單獨(dú)的入侵防御系統(tǒng)不能做這個(gè)事情��。這是所有的堅(jiān)定的入侵防御系統(tǒng)廠商或者被大型網(wǎng)絡(luò)安全廠商收購(gòu)或者開發(fā)自己的下一代防火墻的主要原因���。
威廉遜說�,我可以肯定,上述說法會(huì)引起一些不滿���。因此��,讓我提供一些信息來支持這個(gè)觀點(diǎn)�����。首席�����,目前對(duì)網(wǎng)絡(luò)威脅的任何討論都應(yīng)該從威脅如果避開安全 措施開始����。一個(gè)入侵防御系統(tǒng)將漏掉它看不到的或者找錯(cuò)地方的威脅��。因此�����,在通訊還沒有達(dá)到入侵防御系統(tǒng)之前��,這場(chǎng)戰(zhàn)斗已經(jīng)失敗了。集成的解決方案正是在這 個(gè)地方提供單獨(dú)的入侵防御系統(tǒng)缺少的重要的環(huán)境信息和控制能力��。
例如���,考慮如何定期使用應(yīng)用程序隱藏威脅��。他們能夠加密通訊�����、跳點(diǎn)端口或者在其它應(yīng)用程序中建立隧道以便出現(xiàn)在人們意想不到的地方�����?紤]到入侵防御 系統(tǒng)特征一般是根據(jù)端口應(yīng)用的(例如在端口Y至端口Z使用X特征)����,這是很重要的。如果這個(gè)威脅出現(xiàn)在預(yù)料之外的端口�����,那么���,這個(gè)特征就不會(huì)執(zhí)行�。
除了躲避應(yīng)用程序之外,代理程序���、遠(yuǎn)程桌面工具���、壓縮的通訊以及UltraSurf和Hamachi等專用饒過工具都能幫助攻擊者避開檢測(cè)。相比之 下�����,下一代防火墻能檢測(cè)所有的通訊�,無論是什么端口,因此��,避開端口是無效的�����。而且���,它能不斷地解碼協(xié)議和應(yīng)用程序����,因此,通訊不能隱藏其中并且控制所有 的應(yīng)用程序類型���。這樣�,想饒過檢測(cè)的通訊就不允許通過網(wǎng)絡(luò)�。
對(duì)于專用的入侵防御系統(tǒng)來說,問題還不止是應(yīng)用程序�����。一個(gè)現(xiàn)代的網(wǎng)絡(luò)威脅將融合安全漏洞�、各種類型的惡意軟件以及遠(yuǎn)程網(wǎng)站和服務(wù)器。所有這些組件一 起作為這個(gè)攻擊的一個(gè)組成部分�,每一個(gè)部分對(duì)于安全行業(yè)來說可能是已知的或者未知的。單獨(dú)的入侵防御系統(tǒng)僅知道其中的部分組件(已知的安全漏洞)�����,而漏掉 其它的組件���。
事實(shí)上,對(duì)于不考慮現(xiàn)代惡意軟件的復(fù)雜性的現(xiàn)代“入侵防御”措施很難想象一種合理的方法�,F(xiàn)代惡意軟件通常感染代理程序和正在運(yùn)行的控制機(jī)制。一個(gè) 入侵防御系統(tǒng)可以在這里或者那里檢測(cè)到奇特的病毒,但是�����,不能檢測(cè)出對(duì)網(wǎng)絡(luò)構(gòu)成威脅的數(shù)百萬惡意軟件樣本�。一個(gè)入侵防御系統(tǒng)也許能檢測(cè)少數(shù)已知的惡意 URL,但是���,缺少數(shù)百萬網(wǎng)站的每日更新以便跟蹤已經(jīng)被感染或者正在發(fā)布威脅的網(wǎng)站��。在現(xiàn)代威脅防御中�����,關(guān)聯(lián)的環(huán)境是王���。單一功能的解決方案不起作用。
而且�,入侵防御系統(tǒng)產(chǎn)品僅限于已知的安全漏洞。雖然所有的現(xiàn)代入侵防御系統(tǒng)解決方案都使用安全漏洞特征�,但是,有些特征仍是以已知的東西為基礎(chǔ)的����。任何真正的未知的特征都會(huì)漏掉。
惡意的指揮與控制通訊定期在網(wǎng)絡(luò)上顯示為未知的通訊。未知的或者沒有分類的URL可能是一個(gè)攻擊的跡象���,因?yàn)楣粽邔⒀杆俳⒑统蜂NURL使他們很 難被跟蹤���。IT需要檢測(cè)未知文件中惡意行為的能力。還有許多超出入侵防御系統(tǒng)能力的事情�。但是,這些事情對(duì)于阻止入侵者都是非常重要的�����。
因此����,有關(guān)單獨(dú)的和集成的入侵防御系統(tǒng)的爭(zhēng)論基本上解決了(至少暫時(shí)是如此)。隨著壞人從單個(gè)攻擊的安全漏掉向多方位的和多向量的威脅發(fā)展�����,如果我們?nèi)藶榈匕盐覀兊木W(wǎng)絡(luò)安全智能和強(qiáng)制執(zhí)行措施分割為專門的豎井�����,我們就會(huì)讓這些壞人占優(yōu)勢(shì)��。
