保护企业至关重要的服务器不受攻击,使IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越隐蔽的攻击方式是最令人头疼的两个问题。尽管在过去,入侵检测系统(IDS)是一种受到企业欢迎的解决方案,但它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会在攻击发生前主动阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。
那么,企业还有什么选择呢?入侵防护系统(IPS)是企业安全的下一步合理防护措施。它不仅可进行检测,还能在攻击造成损失前阻断它们,从而将入侵检测系统提升到一个新水平。这两种技术间的区别是企业管理人员已经非常熟悉的:入侵防护阻断了红色代码、尼姆达和SQL Slammer,而入侵检测系统用户在这每一次攻击后都需花费数百万美元进行清毒工作。
目前市场上有许多种产品和工具在使用“防护”的名称。真正的入侵防护解决方案可使用户不必进行分析即可采取措施保护系统;同时,它可防止攻击对操作系统、应用程序和数据造成损坏。通过使用一种系统来主动预防攻击,则不会产生检测攻击,确定攻击最后采取措施阻断攻击过程的间断。同时,对于安装软件补丁以在操作系统和应用程序中安装软件和补丁的方式来堵塞漏洞,并阻断类似蠕虫病毒和缓冲区溢出等攻击方面,入侵防护可帮助企业更好地控制这一高成本和费时的过程。美国网络联盟认为,一个理想的入侵防护解决方案应该包括以下十个特点:
1、主动、实时预防攻击。真正的解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前发现攻击,并防止它进入重要的服务器资源。
2、补丁等待保护。补丁管理是一个复杂的过程。在补丁被开发和安装之间,聪明的黑客会对服务器和重要数据造成破坏,优秀的入侵防护解决方案可为系统管理员提供补丁等待期内的保护和足够的时间,以测试并安装补丁。
3、保护每个重要的服务器。服务器中有最敏感的企业信息,是大多数黑客攻击的主要目标。所以,拥有专门为服务器保护订制的入侵防护解决方案十分重要。目前,市场上有许多解决方案对服务器和桌面机使用同样的保护方法,并想成为“最完美”的保护方法。其结果就是不切实际的拙劣技术。
4、签名和行为规则。检测入侵最有效的方法是采取混合方式,即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护,而同时将误报率降至在最低,从而无须做出任何损失性让步。这两种技术都不能互相替代:行为规则可保护服务器不遭受新的和以前未知的攻击。但行为规则方式的覆盖十分有限,许多攻击都没有包括在其中,且会产生更多的误报。为获得全面的取证能力,探测攻击就必须使用签名方式,因此,安全经理要能够了解攻击他们系统的攻击的类型。
5、分层防护。强大的安全都是基于深度防御的概念:拥有几层保护。应该具有冗余机制,因此,当攻击通过一层阻挡时,总有其他的阻挡在等待它们。
6、多种环境同时保护。使用不同电脑环境的企业需要确保选择的入侵防护在所有重要的服务器中保持一致。它也可进行连贯、可靠的跨平台保护。
7、可管理性。理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用,从而降低安装与维护大型安全产品的成本。
8、可升级。企业级入侵防护解决方案必须可升级,以满足企业不断发展的需求,而同时保持最高水平的安全。可升级性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理,以满足大型分散式企业的需求。
9、低总体拥有成本。用户所投资的系统最好能降低监控和管理全部服务器安全的成本。减少为确保系统安全而花费在清毒、补丁和监控等方面的时间。
10、经验证的预防技术。要调查所要选择的解决方案是否在类似的环境中经过充分测试、使用并在受到持续不断的维护,这一点很重要。阅读一下他们的案例说明、提出问题并作比较。
