重談入侵檢測系統:已經落伍但必不可少
入侵檢測系統(IDS)能夠監視網絡上的流量,通過系統搜索可疑的活動和已知的威脅,并在發現此類項目時發出威脅預警。用稍微技術一點話來說,IDS的總體目標是及時通知IT管理人員,系統中可能正在發生的異常行為。威脅預警中通常會包含有關入侵源地址、目標/受害者地址以及可疑攻擊類型等信息。企業IT部門可以通過部署入侵檢測系統,來了解其技術環境中存在的潛在惡意活動。
每個IDS都被編程為分析流量和識別模式,在這種模式下,IDS能夠識別出可能指示各種網絡攻擊的流量。此外,入侵檢測系統還能夠檢測對特定軟件有問題的流量。比如,如果它檢測到針對公司使用的Firefox瀏覽器的已知攻擊,它就會向公司IT管理人員發布預警信息,但是如果公司使用了不同的瀏覽器則不會發出警報。
一、IDS的類型
入侵檢測系統可以分為兩大類:基于主機的入侵檢測系統,以及基于網絡的入侵檢測系統。區分這兩種類別的關鍵在于入侵檢測軟件的傳感器放置在何處(主機/端點或網絡)。
除了上述分類方式外,一些專家甚至還對入侵檢測市場進行了進一步細分,其中包含邊界IDS、基于VM(虛擬機)的IDS、基于堆棧的IDS、基于簽名的IDS以及基于異常行為的IDS等。無論是何種類型,該技術通常都具備相同的功能,即旨在檢測傳感器所在位置上的入侵行為,并將其檢測到的異常行為及時反饋給安全分析師。
二、IDS在現代企業中的應用
入侵檢測是一項被動的技術,它能夠檢測并確認問題,但卻無法中斷可疑的網絡流量。想要深入理解IDS,可以自行對比能夠阻止已知惡意軟件的防火墻和入侵防御系統(IPS),所謂入侵防御系統(IPS),顧名思義,就是能夠阻止惡意流量。
雖然IDS無法阻止惡意流量,但是其檢測主動攻擊的功能仍然至關重要,因此這項技術在現代企業應用中仍然占據重要的一席之地。企業目前已經不會像以前一樣將IDS作為獨立的解決方案進行采購和部署。相反地,他們會購買一整套安全功能或安全平臺,并將入侵檢測作為眾多內置功能中的其中一個。而且,企業必須了解入侵檢測系統同樣需要維護,如果你想要追蹤網絡環境中的各種行為,你就需要有人能夠為警報和安全事故做出響應。
考慮到入侵檢測系統所能承載的工作范圍,規模較小的公司應該具備這種能力,但是只能將其作為更大功能套件的一部分使用,因此除了其他獨立解決方案之外,他們不需要管理IDS。此外,他們還應該考慮與管理有序的安全服務提供商合作,以滿足整體安全需求,因為規模較大的提供商可以使用機器學習、或者人工智能等方式來提供相關的入侵警報信息。如果需要了解網絡內部的異常行為,那么就需要部署額外的防護層,而不僅僅是依賴防火墻。
三、管理IDS的3大挑戰
IDS確實具備幾個公認的管理挑戰,這些挑戰可能會使組織的管理工作變得更為艱難。
1. 誤報(即在沒有發生真正問題時發出警報)
IDS的誤報問題最為令人頭痛,大量的誤報無疑為IT團隊施加了壓力,他們必須用正確的信息不斷更新其IDS,以檢測合法的威脅并將這些真正的威脅從允許的流量區中區分開來。但這可不是一項小任務。
管理人員必須對IDS系統進行調整,以分析正確的環境并減少誤報。例如,分析和提供有關‘防止已知攻擊的‘服務器的互聯網活動警報沒有什么益處,這樣只會產生成千上萬的不相關警報,而不會產生任何有意義的警報。同樣,在某些情況下,完全有效的活動也可能存在產生虛假警報的概率。因此,建議企業可通過二級分析平臺,例如安全信息和事件管理(SIEM)平臺來幫助分析這些警報。
2. 人員配置
鑒于理解網絡上下文的需求,企業必須做好準備讓任何IDS符合自身獨特需求。這就意味著,IDS不可能成為一種適合所有配置來實現準確有效操作的工具。而且,這要求精明的IDS分析師能夠根據給定站點的具體情況和需求來量身定制IDS。更重要的是,這種知識淵博且訓練有素的系統分析師本就十分稀少。
3. 漏檢問題
IDS的工作機制在于,必須知道攻擊是什么之后才能識別它。而且,IDS技術在檢測加密流量中的惡意軟件時也存在問題。
另外,傳入流量的速度和分布特征也可能會限制入侵檢測系統在企業運用中的有效性。比如,企業配置的IDS可能能夠處理100兆流量,但是可能會有200兆的流量進入或流量分配,如此一來,IDS就只能看到1/3或1/4的流量數據包。
四、入侵檢測的未來
盡管上述種種局限性,我們仍然無法否定IDS作為一項功能所產生的實際價值。沒有安全工具是完美的,不同的產品具備不同的缺陷,所以現在我們面臨的挑戰是了解這些缺陷。相信IDS將在未來很長一段時間內繼續發揮效用,其對于識別異常流量仍然具有基本的價值。
然而,這些局限性也開始讓業內人士重新考慮對IDS的需求。基于收到的警報數量,這種調整和分析仍需要大量的努力。一個組織可能沒有足夠的資源來管理具備如此大容量的所有設備。來自IDS的大量虛假警報也讓一些組織選擇拒絕部署IPS,因為害怕虛假的情報會造成IPS程序阻止到合法的商業交易行為。
另外一些組織可能會實施更全面的威脅評估,因此決定不部署IDS設備,而將重點放在針對互聯網網關的更高級防護上,或者將來自網絡設備的流量分析與來自系統和應用程序的日志分析結合使用,以識別可疑事件,而不是使用IDS。
Palo Alto Networks公司威脅情報總監Scott Simkin也認為,IDS作為一種解決方案并不能夠在大多數現代企業中發揮作用。但同時他也表示,自己堅信IDS會在更廣泛的網絡安全投資組合中保留著一席之地。
IDS(作為系統)已經被IPS和下一代防火墻取代,這些工具采用了IDS的概念,并在其上補充了許多新功能和保護層,這些功能包括行為分析、網頁過濾、應用程序身份管理以及其他控制功能等。這種能力對于每個安全團隊來說都是絕對重要和基礎的。
