入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性、吞吐率、流量延迟和误报率。
基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击;不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统。
Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用;如果没有真正得到使用,查明其中的原因。IPS厂商TippingPoint委托这家研究公司进行的这项调查涉及TippingPoint的产品,另外还涉及思科、IBM、McAfee和Sourcefire这些厂商的同类产品。
Infonetics公司的网络安全首席分析师杰夫·威尔逊(Jeff Wilson)说:“人们对IPS的态度还是非常谨慎。这项调查给我的印象主要是,我们还没有进入纯IPS的时代,尽管大家都喜欢声称我们进入了这样一个时代。”
思科是IPS领域的主导厂商,这项调查体现了这一点;调查对象当中有77个思科IPS客户、38个TippingPoint客户、36个IBM ISS Proventia客户、26个McAfeeIPS客户以及15个Sourcefire IPS客户――他们都详细描述了如何在所在公司使用IPS。每家公司的平均规模是拥有9418名员工。
IPS的第一步通常是决定要不要在带内使用;Infonetics公司发现,带内使用IPS的TippingPoint客户有91%、思科客户有70%、IBM和McAfee客户各有67%,Sourcefire客户大约有55%。
提到不想在带内使用IPS设备的几个原因包括可靠性、吞吐率、流量延迟和误报率。
对于那些在带内使用IPS设备的客户来说,下一步就是确定IPS设备的可用过滤器当中有多少可以激活,以便阻止不同类型的攻击流量。调查发现,那些在带内使用IPS设备的客户常常并没有让所有过滤器工作在阻止模式下,而是有时候只是工作在警报模式下。工作在阻止模式下的IPS过滤器在TippingPoint和IBM设备中的情况要多得多,而在Sourcefire设备中的情况少得多。在IBM、思科和McAfee的设备中,在混合模式下阻止和纯警报功能被激活的情况是各一半。
据调查显示,厂商们提供的过滤器更新库(filter updates)只是在40%到74%的时间得到了使用,时间长短视产品而定。
至于为什么客户们不愿意使用新的过滤器,已见过调查结果的独立分析师理查德·斯蒂农(Richard Stiennon)表示,IPS客户通常在部署过滤器更新库之前,先在实验环境下进行分析。有时候,过滤器特征会“破坏应用程序或者阻止协议”,斯蒂农说。“所以有时候它们未得到部署。”
五年前斯蒂农还是Gartner公司入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性、吞吐率、流量延迟和误报率。
基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击;不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统。
Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用;如果没有真正得到使用,查明其中的原因。IPS厂商TippingPoint委托这家研究公司进行的这项调查涉及TippingPoint的产品,另外还涉及思科、IBM、McAfee和Sourcefire这些厂商的同类产品。
Infonetics公司的网络安全首席分析师杰夫·威尔逊(Jeff Wilson)说:“人们对IPS的态度还是非常谨慎。这项调查给我的印象主要是,我们还没有进入纯IPS的时代,尽管大家都喜欢声称我们进入了这样一个时代。”
思科是IPS领域的主导厂商,这项调查体现了这一点;调查对象当中有77个思科IPS客户、38个TippingPoint客户、36个IBM ISS Proventia客户、26个McAfeeIPS客户以及15个Sourcefire IPS客户――他们都详细描述了如何在所在公司使用IPS。每家公司的平均规模是拥有9418名员工。
IPS的第一步通常是决定要不要在带内使用;Infonetics公司发现,带内使用IPS的TippingPoint客户有91%、思科客户有70%、IBM和McAfee客户各有67%,Sourcefire客户大约有55%。
提到不想在带内使用IPS设备的几个原因包括可靠性、吞吐率、流量延迟和误报率。
对于那些在带内使用IPS设备的客户来说,下一步就是确定IPS设备的可用过滤器当中有多少可以激活,以便阻止不同类型的攻击流量。调查发现,那些在带内使用IPS设备的客户常常并没有让所有过滤器工作在阻止模式下,而是有时候只是工作在警报模式下。工作在阻止模式下的IPS过滤器在TippingPoint和IBM设备中的情况要多得多,而在Sourcefire设备中的情况少得多。在IBM、思科和McAfee的设备中,在混合模式下阻止和纯警报功能被激活的情况是各一半。
据调查显示,厂商们提供的过滤器更新库(filter updates)只是在40%到74%的时间得到了使用,时间长短视产品而定。
至于为什么客户们不愿意使用新的过滤器,已见过调查结果的独立分析师理查德·斯蒂农(Richard Stiennon)表示,IPS客户通常在部署过滤器更新库之前,先在实验环境下进行分析。有时候,过滤器特征会“破坏应用程序或者阻止协议”,斯蒂农说。“所以有时候它们未得到部署。”
五年前斯蒂农还是Gartner公司的分析师时,就宣布IDS已“死亡”,曾在当时引起了一番争议。现在他表示,Infornetics公司的这项调查给他带来了再次激起批评人士大加挞伐的刺激因素。
斯蒂农说:“IDS会死亡,因为它仍是一项失败的技术。”他表达了这种观点:只是单单把有关攻击的警报记入日志几乎总是一项平淡无奇的操作。“IPS设备在阻止攻击方面应当有更大的作为。”
他还表示,TippingPoint设备当初是有意设计成一款嵌入式IPS设备的,而思科设备却不是。Infonetics公司的杰夫·威尔逊也认为,思科IPS不是设计成可以在带内使用;尽管思科是IPS领域的市场领头羊,但思科“其平台用作一款阻止攻击流量的真正IPS的总体使用率最低。”
虽然Gartner的分析师约翰·佩斯卡托(John Pescatore)还没见过Infonetics的调查结果,不过他说,Gartner自己针对其客户开展的调查表明,用户获得信心从而把IPS用在嵌入式阻止模式下,可能需要相当长一段时间,甚至长达一年。
佩斯卡托问道:“为什么不完全在这种模式下启用?因为设备会出现性能问题,它们的速度会慢下来,或者可能阻止合法流量。”他表示,还存在IPS吞吐率性能方面的严重问题,而IPS行业需要解决这些问题。
【编辑推荐】
【责任编辑:王文文 TEL:(010)68476606】
