入侵防御设备的功能仍未得到全面应用涉及的原因

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性、吞吐率、流量延迟和误报率。基于网络的入侵防御系统（IPS）是一种嵌入式（in-line）设备，目的在于检测及阻止多种多样的攻击；不过新的研究显示，这种设备的使用仍然常常更像是被动监控流量的入侵检测系统。Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查，旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用；如果没有真正得到使用，查明其中的原因。IPS厂商TippingPoint委托这家研究公司进行的这项调查涉及TippingPoint的产品，另外还涉及思科、IBM、McAfee和Sourcefire这些厂商的同类产品。Infonetics公司的网络安全首席分析师杰夫·威尔逊（Jeff Wilson）说：“人们对IPS的态度还是非常谨慎。这项调查给我的印象主要是，我们还没有进入纯IPS的时代，尽管大家都喜欢声称我们进入了这样一个时代。”思科是IPS领域的主导厂商，这项调查体现了这一点；调查对象当中有77个思科IPS客户、38个 TippingPoint客户、36个IBM ISS Proventia客户、26个McAfeeIPS客户以及15个Sourcefire IPS客户――他们都详细描述了如何在所在公司使用IPS。每家公司的平均规模是拥有9418名员工。IPS的第一步通常是决定要不要在带内使用；Infonetics公司发现，带内使用IPS的TippingPoint客户有91%、思科客户有70%、IBM和McAfee客户各有67%，Sourcefire客户大约有55%。提到不想在带内使用IPS设备的几个原因包括可靠性、吞吐率、流量延迟和误报率。对于那些在带内使用IPS设备的客户来说，下一步就是确定IPS设备的可用过滤器当中有多少可以激活，以便阻止不同类型的攻击流量。调查发现，那些在带内使用IPS设备的客户常常并没有让所有过滤器工作在阻止模式下，而是有时候只是工作在警报模式下。工作在阻止模式下的IPS过滤器在TippingPoint和IBM设备中的情况要多得多，而在Sourcefire设备中的情况少得多。在IBM、思科和McAfee 的设备中，在混合模式下阻止和纯警报功能被激活的情况是各一半。据调查显示，厂商们提供的过滤器更新库（filter updates）只是在40%到74%的时间得到了使用，时间长短视产品而定。至于为什么客户们不愿意使用新的过滤器，已见过调查结果的独立分析师理查德·斯蒂农（Richard Stiennon）表示，IPS客户通常在部署过滤器更新库之前，先在实验环境下进行分析。有时候，过滤器特征会“破坏应用程序或者阻止协议”，斯蒂农说。“所以有时候它们未得到部署。”五年前斯蒂农还是Gartner公司的分析师时，就宣布IDS已“死亡”，曾在当时引起了一番争议。现在他表示，Infornetics公司的这项调查给他带来了再次激起批评人士大加挞伐的刺激因素。斯蒂农说：“IDS会死亡，因为它仍是一项失败的技术。”他表达了这种观点：只是单单把有关攻击的警报记入日志几乎总是一项平淡无奇的操作。“IPS设备在阻止攻击方面应当有更大的作为。”他还表示，TippingPoint设备当初是有意设计成一款嵌入式IPS设备的，而思科设备却不是。 Infonetics公司的杰夫·威尔逊也认为，思科IPS不是设计成可以在带内使用；尽管思科是IPS领域的市场领头羊，但思科“其平台用作一款阻止攻击流量的真正IPS的总体使用率最低。”虽然Gartner的分析师约翰·佩斯卡托（John Pescatore）还没见过Infonetics的调查结果，不过他说，Gartner自己针对其客户开展的调查表明，用户获得信心从而把IPS用在嵌入式阻止模式下，可能需要相当长一段时间，甚至长达一年。佩斯卡托问道：“为什么不完全在这种模式下启用？因为设备会出现性能问题，它们的速度会慢下来，或者可能阻止合法流量。”他表示，还存在IPS吞吐率性能方面的严重问题，而IPS行业需要解决这些问题。