大部分自動化的IPS 解決方案有助于在惡意活動到達其他安全設(shè)備或控件之前將其過濾掉。這減少了安全團隊的手動工作,并允許其他安全產(chǎn)品更有效地執(zhí)行。
IPS 解決方案在檢測和防止漏洞利用方面也非常有效。發(fā)現(xiàn)漏洞后,通常會有一個利用機會窗口,然后才能應(yīng)用安全補丁。這里使用入侵防御系統(tǒng)來快速阻止這些類型的攻擊。
IPS 設(shè)備最初是在 2000 年代中期作為獨立設(shè)備構(gòu)建和發(fā)布的。此功能已集成到統(tǒng)一威脅管理 (UTM) 解決方案和下一代防火墻中。下一代 IPS 解決方案現(xiàn)在連接到基于云的計算和網(wǎng)絡(luò)服務(wù)。
入侵防御系統(tǒng)如何工作
IPS 直接置于源和目標之間的網(wǎng)絡(luò)流量流中。這就是 IPS 與其前身入侵檢測系統(tǒng) (IDS) 的區(qū)別。相反,IDS 是一種被動系統(tǒng),可以掃描流量并報告威脅。該解決方案通常位于防火墻后面,分析進入網(wǎng)絡(luò)的所有流量并在必要時采取自動操作。
這些行動可以包括:
- 向管理員發(fā)送警報(就像在 IDS 中看到的那樣)
- 丟棄惡意數(shù)據(jù)包
- 阻止來自源地址的流量
- 重置連接
- 配置防火墻以防止未來的攻擊
作為內(nèi)聯(lián)安全組件,IPS 必須能夠:
- 高效工作以避免降低網(wǎng)絡(luò)性能
- 快速工作,因為攻擊可以近乎實時地發(fā)生
- 準確檢測和響應(yīng)以消除威脅和誤報(即,將合法數(shù)據(jù)包誤讀為威脅)。
為了成功地做到這一點,有幾種技術(shù)可用于發(fā)現(xiàn)漏洞利用和保護網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問。這些包括:
1、基于簽名的檢測是一種基于每個漏洞利用代碼中唯一可識別模式(或簽名)的字典的檢測方法。當漏洞被發(fā)現(xiàn)時,它的簽名被記錄并存儲在一個不斷增長的簽名字典中。IPS 的簽名檢測分為兩種類型:
- 面向漏洞利用的簽名通過觸發(fā)特定漏洞利用嘗試的獨特模式來識別單個漏洞利用。IPS 可以通過在流量流中找到與面向漏洞利用的簽名的匹配項來識別特定的漏洞利用。
- 面向漏洞的簽名是更廣泛的簽名,針對目標系統(tǒng)中的潛在漏洞。這些簽名可以保護網(wǎng)絡(luò)免受身份不明的侵害。它們還會增加誤報的風險。
2、基于異常的檢測隨機獲取網(wǎng)絡(luò)流量樣本,并將它們與預(yù)先計算的基準性能水平進行比較。當流量活動超出基準性能參數(shù)時,IPS 會采取行動。
3、基于策略的檢測需要系統(tǒng)管理員根據(jù)組織的安全策略和網(wǎng)絡(luò)基礎(chǔ)設(shè)施配置安全策略。如果發(fā)生任何違反定義的安全策略的活動,則會觸發(fā)警報并發(fā)送給管理員。
入侵防御系統(tǒng)的類型
有多種類型的 IPS 解決方案,可以針對不同的目的進行部署。這些包括:
- 基于網(wǎng)絡(luò)的入侵防御系統(tǒng) (NIPS),安裝在戰(zhàn)略點以監(jiān)控所有網(wǎng)絡(luò)流量并掃描威脅。
- 主機入侵防御系統(tǒng) (HIPS),安裝在端點上,僅查看來自該機器的入站/出站流量。HIPS 通常與 NIPS 結(jié)合使用,作為威脅的最后一道防線。
- 網(wǎng)絡(luò)行為分析 (NBA)分析網(wǎng)絡(luò)流量以檢測異常流量并發(fā)現(xiàn)新的惡意軟件或零日漏洞。
- 無線入侵防御系統(tǒng) (WIPS)掃描 Wi-Fi 網(wǎng)絡(luò)以查找未經(jīng)授權(quán)的訪問并移除任何未經(jīng)授權(quán)的設(shè)備。
入侵防御系統(tǒng)的好處
入侵防御系統(tǒng)具有許多安全優(yōu)勢:
- 降低業(yè)務(wù)風險和額外的安全性
- 更好地了解攻擊,從而提供更好的保護
- 提高效率允許檢查所有流量是否存在威脅
- 管理漏洞和補丁所需的資源更少
IPS 的關(guān)鍵特性
IPS 是防止某些最具威脅性和高級攻擊的重要工具。在您選擇的 IPS 中尋找以下功能:
IPS 漏洞保護
應(yīng)用程序漏洞是漏洞、感染和勒索軟件攻擊生命周期中常見的初始步驟。雖然報告的漏洞數(shù)量每年都在持續(xù)增加,但對手只需要一個漏洞就可以訪問組織。Apache Struts、Drupal、遠程訪問、VPN、Microsoft Exchange、Microsoft SMB、操作系統(tǒng)、瀏覽器和 IoT 系統(tǒng)等應(yīng)用程序中的關(guān)鍵漏洞仍然是針對組織的首要嘗試利用漏洞。漏洞利用和 RDP 妥協(xié)是攻擊者獲取企業(yè)訪問權(quán)限和發(fā)起勒索軟件攻擊的兩種主要方式。這使得漏洞保護成為安全的重要組成部分。
反惡意軟件保護
基于流的掃描引擎檢測已知惡意軟件及其未知變體,然后高速內(nèi)聯(lián)阻止它們。IPS 和反惡意軟件保護通過一項服務(wù)解決多個威脅向量。這是從傳統(tǒng)供應(yīng)商處購買和維護單獨的 IPS 產(chǎn)品的便捷替代方案。
全面的命令和控制保護
在初始感染后,攻擊者通過隱蔽的 C2 通道與主機通信。C2 通道用于拉下其他惡意軟件、發(fā)出進一步指令和竊取數(shù)據(jù)。隨著越來越多地使用 Cobalt Strike 等工具集以及加密或混淆的流量,攻擊者更容易創(chuàng)建完全可定制的命令和控制通道。使用傳統(tǒng)的基于簽名的方法無法阻止這些通道。
因此,IPS 解決方案必須包含阻止和防止未知 C2 內(nèi)聯(lián)的功能。IPS 解決方案還應(yīng)檢測并阻止來自可能已受到以下威脅的系統(tǒng)的出站 C2 通信:
- 已知的惡意軟件家族
- 網(wǎng)殼
- 遠程訪問木馬
自動化安全操作
安全操作團隊應(yīng)該能夠快速采取行動、隔離并實施策略來控制潛在的感染。這包括更強大的安全策略和控制,例如自動多因素身份驗證。
廣泛的可見性和精細控制
事件響應(yīng)團隊受益于能夠立即確定哪些系統(tǒng)受到攻擊以及哪些用戶可能受到感染。這比根據(jù) IP 地址猜測要有效得多。將對應(yīng)用程序和用戶的策略控制權(quán)交給 IT 和安全人員可以極大地簡化網(wǎng)絡(luò)安全策略的創(chuàng)建和管理。
一致、簡化的策略管理
為了提供全面保護,現(xiàn)代分布式網(wǎng)絡(luò)需要在以下方面采用一致的策略:
- 公司周邊
- 數(shù)據(jù)中心
- 公有云和私有云
- 軟件即服務(wù)應(yīng)用程序
- 遠程用戶。
自動化威脅情報
生成和使用高質(zhì)量的威脅情報很重要,但自動將該情報轉(zhuǎn)化為保護措施也是必要的。現(xiàn)代 IPS 必須能夠自動利用威脅情報來跟上攻擊的速度。
用于規(guī)避威脅檢測的深度學(xué)習(xí)
為了防止復(fù)雜和規(guī)避威脅的增加,入侵防御系統(tǒng)應(yīng)該部署內(nèi)聯(lián)深度學(xué)習(xí)。內(nèi)聯(lián)深度學(xué)習(xí)可顯著增強檢測能力,并在不依賴簽名的情況下準確識別前所未見的惡意流量。
深度學(xué)習(xí)模型經(jīng)過多層分析并在幾毫秒內(nèi)處理數(shù)百萬個數(shù)據(jù)點。這些復(fù)雜的模式識別系統(tǒng)以無與倫比的準確性分析網(wǎng)絡(luò)流量活動。這樣的系統(tǒng)還可以識別未知的惡意流量,幾乎沒有誤報。這一附加的智能保護層可進一步保護敏感信息并防止可能使組織癱瘓的攻擊。
入侵防御系統(tǒng)常見問題解答
問:入侵防御系統(tǒng)有哪兩種主要類型?
答:入侵防御系統(tǒng)有多種檢測惡意活動的方法,但最常用的兩種主要方法如下:基于簽名的檢測和基于統(tǒng)計異常的檢測。
問:使用 IPS 系統(tǒng)有什么優(yōu)勢?
答:使用 IPS,您可以識別惡意活動、記錄和報告檢測到的威脅,并采取預(yù)防措施阻止威脅造成嚴重破壞。
問:我需要帶 IPS 的防火墻嗎?
答:是的。IPS 之所以必要,部分原因是它們關(guān)閉了防火墻未插入的安全漏洞。指令預(yù)防系統(tǒng)旨在檢測惡意攻擊者并在他們危害系統(tǒng)之前拒絕訪問。IPS 是下一代防火墻不可或缺的一部分,可提供急需的附加安全層。
