曾經(jīng)提到網(wǎng)絡(luò)安全,很多人的第一反應(yīng)就是防病毒、防火墻、IPS(IDS)這“老三樣”。入侵防御系統(tǒng)(Intrusion Prevention System,簡稱“IPS”)作為過去幾十年里應(yīng)用最廣泛、最成熟的網(wǎng)絡(luò)安全產(chǎn)品之一,在持續(xù)監(jiān)控可疑的惡意活動(dòng),檢測和預(yù)防網(wǎng)絡(luò)入侵方面發(fā)揮了巨大作用。不過,在企業(yè)數(shù)字化應(yīng)用日益增多、新安全威脅不斷涌現(xiàn)、網(wǎng)絡(luò)邊界逐漸打破的今天,IPS能否延續(xù)過去的風(fēng)光?新一代IPS產(chǎn)品(技術(shù))將如何發(fā)展?
1. 結(jié)合人工智能
人工智能(AI)正滲入到生活的方方面面,還滲入到眾多安全工具中,其中包括IPS。AI大大解放了IPS,因?yàn)樗梢宰詣?dòng)處理許多檢測步驟;能夠發(fā)現(xiàn)異常的網(wǎng)絡(luò)行為,并節(jié)省瀏覽日志的時(shí)間。
DNSFilter數(shù)據(jù)科學(xué)主管Adam Spotton表示,AI在網(wǎng)絡(luò)安全發(fā)揮著重要作用,因?yàn)樗劳性O(shè)計(jì)人員的專長,可以自動(dòng)做出決策。然而,AI并非可以作為一種現(xiàn)成解決方案來輕松部署。企業(yè)需認(rèn)真考慮數(shù)據(jù)收集和訓(xùn)練過程的每一步,以便模型從實(shí)驗(yàn)室發(fā)布到實(shí)際環(huán)境后有效且可靠。這些考慮因素包括:敲定威脅識別問題、收集數(shù)據(jù)以便能夠訓(xùn)練數(shù)據(jù)、迭代測試及改進(jìn),以及解釋發(fā)現(xiàn)的結(jié)果。
如果做法得當(dāng),AI是一種強(qiáng)大的工具,不僅可以用來檢測現(xiàn)有威脅,還可以用來檢測不斷演變的新威脅。比如說,基于AI的威脅檢測表明,與傳統(tǒng)的手動(dòng)靜態(tài)威脅源相比,它可以發(fā)現(xiàn)的威脅多出60%。IPS供應(yīng)商正逐漸將AI整合到其工具中。
2. 與防護(hù)體系融合
正如IPS在整合更多的AI功能,現(xiàn)在一股愈演愈烈的趨勢是:IPS工具本身被整合到更龐大的綜合安全體系中。這也是安全行業(yè)整體的發(fā)展趨勢。供應(yīng)商不是為防病毒、反惡意軟件、垃圾郵件檢測、IPS、IDS等推出單獨(dú)的產(chǎn)品,而是將它們打包到更加體系化的整體解決方案中。
例如,安全信息和事件管理(SIEM)工具常常添加IPS功能。Paul Caiazzo是提供包含IPS功能SIEM托管服務(wù)的咨詢顧問,他表示,由于企業(yè)改用遠(yuǎn)程辦公環(huán)境造成了更多的網(wǎng)絡(luò)異常行為,許多企業(yè)需要優(yōu)化和調(diào)整SIEM平臺方面的專業(yè)知識,才能充分利用先進(jìn)功能。
3. 勒索軟件防御
鑒于勒索軟件已成為一大威脅,許多企業(yè)開始意識到必須部署工具以防止勒索軟件入侵。Caiazzo表示,攻擊的成本隨攻擊時(shí)間的增加而增加,因此盡快識別威脅符合企業(yè)的最佳利益,將得逞的勒索軟件攻擊影響降至最低,需要盡早檢測到攻擊。
作為勒索軟件防御和檢測套件而銷售的眾多工具含有IPS功能,綜合分析SIEM、IPS及其他系統(tǒng)提供的數(shù)據(jù),可以識別潛在的攻擊途徑以免被利用,或者在早期階段識別隱蔽的攻擊,從而幫助企業(yè)搜尋威脅,比攻擊者搶先一步采取安全措施。
4. 擴(kuò)展防護(hù)邊界
在傳統(tǒng)IPS工具應(yīng)用最廣泛的時(shí)期,部署在網(wǎng)絡(luò)邊界是其最主要的應(yīng)用形態(tài)。只要企業(yè)留意網(wǎng)絡(luò)邊緣,并防止任何威脅滲入,就可以確保安全。
這種應(yīng)用模式正在改變,許多企業(yè)使用以邊界為中心的網(wǎng)絡(luò)安全策略,該策略對網(wǎng)絡(luò)邊界內(nèi)部的潛在惡意流量幾乎毫無可見性或控制度,這是單層防御機(jī)制。這種單層防御機(jī)制最終可能成為安全策略的最大風(fēng)險(xiǎn)點(diǎn)之一。
圍繞企業(yè)總部或數(shù)據(jù)中心的IPS功能仍然至關(guān)重要,但它需要得到一系列更廣泛功能的支持,以應(yīng)對日益遠(yuǎn)程和分散的邊界,因此縱深防御已成為新常態(tài)。縱深防御需要多層安全控制,以提高如果一層被擊敗,另一層可識別并阻止攻擊的可能性。
5. IPS的云化應(yīng)用
IPS過去安裝在本地,由內(nèi)部IT人員來維護(hù)和管理。這種模式仍有一定的市場。然而,當(dāng)前,云工具基本上占據(jù)了主導(dǎo)地位。擴(kuò)展檢測和響應(yīng)(XDR)套件提供廣泛的基于云的端點(diǎn)保護(hù),并包括IPS功能。同時(shí),傳統(tǒng)的IPS能力更容易被放到云端,從而更便捷地以服務(wù)化的形式提供給用戶。
聯(lián)系地址:甘肅省蘭州市城關(guān)區(qū)南濱河?xùn)|路58號
?版權(quán)所有 2011-2020 甘肅安信信息安全技術(shù)有限公司
Copyright ? 2011-2020 Gansu Anxin information Safe Technology Ltd