在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其它项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。
　　
　　当今,全球黑客的数量与黑客技术在不断提升,复杂的扫描、渗透、协议模糊工具及技术也变得更加常见,造成安全威胁滋生的速度比以往任何时候都要快。
　　TippingPoint中国区业务总监贾泉海说,最糟糕的是,现在黑客渗入网络、应用程序、数据库的驱动力很强,因为他们想要窃取信息,将其出售从而获利,这就是现代化的银行抢劫案。
　　
　　防御替代监测
　　
　　面对不断变化的各种威胁,怎样善加利用宝贵的预算,提供最大化的业务保障?答案可以归纳为一条准则:在合理的范围内让一切与攻击监测和策略执行有关的事情自动化,这样就能将宝贵的IT安全人员和预算用于其他项目。这一原则看似简单清晰,但其实全面的安全自动化知易行难。
　　针对让人头疼的安全威胁,Infonetics公司对用户在部署和管理不同生产商提供的IPS解决方案方面的体验进行了调查,共收集了169家在生产网络中使用IPS解决方案的公司给出的答案,特别是如何采购、安装和使用IPS解决方案。
　　在该项研究中,应答者负责其所在公司IPS产品与服务的“管理或规划”。每家被调查公司平均雇员数量为9418人,均为以下五家IPS厂商之一的客户:思科、IBM ISS、McAfee、Sourcefire和TippingPoint 。
　　基于深度包检测技术的IPS,其本质是阻拦已知的攻击类型和零日漏洞攻击,而无需人为干涉,基本不会出现误报或应用流量延迟。但是为了实现这一目的,必须符合一套非常严密的产品要求。这正是为何大部分入侵技术和产品还停留在以带外入侵监测为中心的水平,而不是带内入侵防御。
　　IPS的好处显而易见,正如2003年8月业内一位重要分析师说的那样:“入侵防御将会替代入侵监测。”然而,Infonetics的IPS用户调查显示,部分IPS厂商的30%~45%的用户仍然没有在线部署这些带有大量能够阻拦恶意流量的过滤器的产品。他们仍然仅将这些产品作为带外使用,用来监测攻击,而不是拦截攻击。
　　带外设备虽然可以检测到网络攻击,但不能拦截攻击。而带内设备提供实时深度检测并在第二层到第七层阻断攻击数据包。Infonetics进行的IPS客户调查显示,不同的IPS供应商提供的带内解决方案差别很大。
　　那么,为什么有些客户不采用带内IPS部署?既然在主动地阻拦恶意攻击方面好处这么多,为什么他们不愿意使用带内解决方案呢?Infonetics进行的IPS客户调查结果显示,使用带外解决方案的主要原因包括: