入侵防御设备的功能仍未得到全面应用涉及的原因

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性、吞吐率、流量延迟和误报率。基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击;不过新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统。Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用;如果没有真正得到使用,查明其中的原因。IPS厂商TippingPoint委托这家研究公司进行的这项调查涉及TippingPoint的产品,另外还涉及思科、IBM、McAfee和Sourcefire这些厂商的同类产品。Infonetics公司的网络安全首席分析师杰夫·威尔逊(Jeff Wilson)说:“人们对IPS的态度还是非常谨慎。这项调查给我的印象主要是,我们还没有进入纯IPS的时代,尽管大家都喜欢声称我们进入了这样一个时代。”思科是IPS领域的主导厂商,这项调查体现了这一点;调查对象当中有77个思科IPS客户、38个 TippingPoint客户、36个IBM ISS Proventia客户、26个McAfeeIPS客户以及15个Sourcefire IPS客户――他们都详细描述了如何在所在公司使用IPS。每家公司的平均规模是拥有9418名员工。IPS的第一步通常是决定要不要在带内使用;Infonetics公司发现,带内使用IPS的TippingPoint客户有91%、思科客户有70%、IBM和McAfee客户各有67%,Sourcefire客户大约有55%。提到不想在带内使用IPS设备的几个原因包括可靠性、吞吐率、流量延迟和误报率。对于那些在带内使用IPS设备的客户来说,下一步就是确定IPS设备的可用过滤器当中有多少可以激活,以便阻止不同类型的攻击流量。调查发现,那些在带内使用IPS设备的客户常常并没有让所有过滤器工作在阻止模式下,而是有时候只是工作在警报模式下。工作在阻止模式下的IPS过滤器在TippingPoint和IBM设备中的情况要多得多,而在Sourcefire设备中的情况少得多。在IBM、思科和McAfee 的设备中,在混合模式下阻止和纯警报功能被激活的情况是各一半。据调查显示,厂商们提供的过滤器更新库(filter updates)只是在40%到74%的时间得到了使用,时间长短视产品而定。至于为什么客户们不愿意使用新的过滤器,已见过调查结果的独立分析师理查德·斯蒂农(Richard Stiennon)表示,IPS客户通常在部署过滤器更新库之前,先在实验环境下进行分析。有时候,过滤器特征会“破坏应用程序或者阻止协议”,斯蒂农说。“所以有时候它们未得到部署。”五年前斯蒂农还是Gartner公司的分析师时,就宣布IDS已“死亡”,曾在当时引起了一番争议。现在他表示,Infornetics公司的这项调查给他带来了再次激起批评人士大加挞伐的刺激因素。斯蒂农说:“IDS会死亡,因为它仍是一项失败的技术。”他表达了这种观点:只是单单把有关攻击的警报记入日志几乎总是一项平淡无奇的操作。“IPS设备在阻止攻击方面应当有更大的作为。”他还表示,TippingPoint设备当初是有意设计成一款嵌入式IPS设备的,而思科设备却不是。 Infonetics公司的杰夫·威尔逊也认为,思科IPS不是设计成可以在带内使用;尽管思科是IPS领域的市场领头羊,但思科“其平台用作一款阻止攻击流量的真正IPS的总体使用率最低。”虽然Gartner的分析师约翰·佩斯卡托(John Pescatore)还没见过Infonetics的调查结果,不过他说,Gartner自己针对其客户开展的调查表明,用户获得信心从而把IPS用在嵌入式阻止模式下,可能需要相当长一段时间,甚至长达一年。佩斯卡托问道:“为什么不完全在这种模式下启用?因为设备会出现性能问题,它们的速度会慢下来,或者可能阻止合法流量。”他表示,还存在IPS吞吐率性能方面的严重问题,而IPS行业需要解决这些问题。

时间: 2024-09-08 23:14:40

入侵防御设备的功能仍未得到全面应用涉及的原因的相关文章

入侵防御设备的功能仍未得到全面应用

入侵防御设备的功能仍未得到全面应用涉及的几个原因包括可靠性.吞吐率.流量延迟和误报率.基于网络的入侵防御系统(IPS)是一种嵌入式(in-line)设备,目的在于检测及阻止多种多样的攻击:不过 新的研究显示,这种设备的使用仍然常常更像是被动监控流量的入侵检测系统.Infonetics研究公司对169名负责为所在公司管理IPS的安全专业人士进行了调查,旨在查明IPS过滤器用于阻止攻击的全部功能是不是真正得到了使用:如果没有真正得到使用,查明其中的原因.IPS厂商TippingPoint委托这家研究

对于入侵防御产品来说,正逐渐成为真实评价产品性能的重要指标

日前,中国信息安全行业领导企业天融信,推出评价入侵防御产品性能的新标杆指标:满检速率.天融信公司在多年的入侵防御产品研发和测试经验积累基础上,结合国际测评机构的最新技术进展,提出了该评价入侵防御产品性能的新标杆指标. 入侵防御产品性能评测方法之前世今生 经过多年的高速度发展,入侵防御产品得到迅速普及,很多用户已经构建起防火墙加入侵防御的网络边界防护系统.但是时至今日,一个问题一直困扰着广大用户和一些专业评测机构,这就是如何评价或者说如何测量一款入侵防御产品的真实性能. "防火墙与入侵防御产品工作

入侵防御产品性能评测方法之前世今生

网络带宽增加带来的对设备吞吐量增长的要求比近期的北京暴雨有过之无不及,这也让吞吐量成为评价一款网关安全设备的重要指标.对于入侵防御产品来说,在100%检测漏洞时的吞吐量所能达到的峰值,正逐渐成为真实评价产品性能的重要指标. 日前,中国信息安全行业领导企业天融信,推出评价入侵防御产品性能的新标杆指标:满检速率.天融信公司在多年的入侵防御产品研发和测试经验积累基础上,结合国际测评机构的最新技术进展,提出了该评价入侵防御产品性能的新标杆指标. 入侵防御产品性能评测方法之前世今生 经过多年的高速度发展,

HP ProCurve发力防火墙及入侵防御市场

近日,HP ProCurve发布了最新的防火墙及入侵防御解决方案,以扩展其安全产品组合.此解决方案不仅降低了安全基础设施的成本,同时降低了其实施的复杂性. 做为HP ProCurve的主动防御(ProActive Defense)安全产品组合的一部分,惠普(HP)引入了全新的HP ProCurve 威胁管理服务模块(HP ProCurve Threat Management Services Module).此模块可提供防火墙.虚拟专用网络(VPN)以及入侵防御(IPS)等功能.这种多功能安全模

《Cisco ASA设备使用指南(第3版)》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中为Cisco安全管理器[Cisco Security Manag

《Cisco ASA设备使用指南》一1.2 入侵检测系统(IDS)与入侵防御系统(IPS)

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) Cisco ASA设备使用指南当攻击者想要非法访问网络或主机,以降低其性能或窃取其信息时,入侵检测系统(IDS)就可以(在杂合模式下)将这种行为检测出来.除此之外,它们还能够检测出分布式拒绝服务(DDoS)攻击.蠕虫及病毒的爆发.图1-4所示为运行在杂合模式下的IDS设备检测安全威胁的示例. 在图1-4中,一名黑客向Web服务器发送了一个恶意的数据包.IDS设备对这个数据包进行了分析,并向监测系统(在本例中是CS-MARS)发送了一个告警信

入侵防御技术的未来

如果说分而治之对于解决问题是一个成功的策略,那么入侵防御仍然在分化阶段.大多数网络使用防 火墙,许多使用IDS,它们都有防病毒和反垃圾邮件的软件,并且一些网络使用IPS.但是却没有一个经销 商将这些技术结合成一个整体并进行管理,进而使得使用更简单. 提出更多全程的术语,大多数网络管理者在其网络上拥有大量的各种高效控制端口,不论是外围还是 核心.然而,正如任何一个工程师告诉你的,仅有控制端口的网络并不等同于一个受控网络.受控网络需 要测量端口.控制端口和反馈回路,以保证所有的端口均在限度里运行.当

微软社交搜索网站Socl正式开放 功能仍有不足

[搜狐IT消息]12月5日消息,据国外媒体报道,微软未来社交体验(FUSE)团队周二向公众开放了 重新设计后的社交搜索网站Socl,用户可以通过Facebook或微软账户来登录该网站.Socl项目最早于2011年12月公布,该服务最初针对的是教育社区和厌烦了传统在线协作方式的用户.在一年的测试期中,Socl在功能和设计上都有了极大的改变.搜索是Socl的核心功能,与传统的搜索功能不同,FUSE团队用图片对搜索结果进行了重新包装.用户可以通过收集某个关键词的相关图片的方式来创建拼贴画风格的帖子,其

汉柏推出了基于云计算的入侵防御系统,与传统防火墙组合为企业数据中心提供深度防御的最优选择

随着信息化和网络的普及,尤其是云计算.数据中心及互联网的发展,针对企业.机构数据中心的蠕虫病毒.漏洞攻击.注入攻击.跨站攻击.DDoS攻击等也有常态化的趋势,极大困扰着用户.尤其,云计算.各种新型互联网应用的普及,以及智能终端的多样性和网络通道的多元化,导致各种新型的攻击愈加繁杂,使得危害和破坏变得更加隐蔽.用户除了部署常规安全防御系统外,更需要一种在线部署的产品,来对各种单一或混合攻击实现实时地检测和阻断,同时要在保证高性能处理时避免误报和漏报发生. 针对数据中心入侵防御的安全需求,汉柏推出了