众所周知,入侵检测系统(IDS)是一种网络安全产品。对于IDS在网络中究竟能起到多大的作用,厂商和评估机构说词不一,这给IDS市场带来了严重威胁,然而,技术的进步、需求的牵引,终归会使IDS市场“亮”起来!
报告引来担忧
IDS厂商一直声称,其产品能够为网络附加一个保护层,但著名评估机构Gartner却认为,IDS并没有实现这种承诺,对网络安全几乎没有意义。传统的IDS系统产生过多的误报,且不能检查出未知的威胁。它在高速环境中容易受到威胁,在连续模式匹配方案中也有困难。为此,Gartner建议用户放弃IDS,转而把资金投向防火墙等更好的策略。
Gartner的报告给IDS市场带来了严重威胁,不仅让IDS厂商大为恼火,也引发了公众的担忧。Gartner认为,IDS实际上只是给用户增添了麻烦,因为它带来漏报和误报的问题,并且因要求不间断的监控,从而增加了系统负担。相反,防火墙具有内容检查功能,并且能够阻止恶意行为和支持杀毒,因而备受推崇。
绝对不应退出
Gartner忽略了一个最基本原理:在网络安全领域,任何方式都有特定的功能,但也不可能是万能的。放弃一种方式,都意味着丧失了一定安全性。同时,在任何安全保障系统中,监视都是防护的基础之一,也是不可或缺的。
按照Gartner的建议,如果采用更智能的防火墙,就能够抵御任何攻击。也就是说,如果采用更好的访问控制策略,就不需要进行监视。然而,新的病毒和测试代码层出不穷,即使最好的访问控制技术也不能保证万无一失,放弃IDS无疑降低了安全系数。如果把网络安全系统和现实的安全系统相比,那么IDS相当于监视器。显然,即使建筑物的大门相当安全,也不应该拆除视频监视系统。所以,关于IDS无效的论断显然站不住脚。
另外,防火墙有它固有的缺陷,如不能防护数据侵害,无法对恶意侵入者拒绝服务。而且它只是监控文件头,而不能监控数据包内容,这也带来了安全隐患。即使结合了IDP(入侵检测和防御产品),防火墙在模式匹配方面仍然有限,还需要更多的防护。同时,由于防火墙很难配置在全部内部网络上,所以操作很困难。为此,如果按照Gartner的建议,只是采用防火墙,而不辅以其他安全措施,则势必带来潜在威胁。
提高自身性能
当然,Gartner的评论也有一定道理,即IDS确实存在误报和数据量过大的问题。同时,IDS要求操作者很有经验,否则很难充分发挥效能。无疑,IDS必须继续发展,才能发挥出应有的作用。
针对Gartner的警告,厂商最近公布了一系列新进展。一旦这些技术得到完全实现,原来固有的误报问题将会消除,对攻击的警告也会限制在一定范围,而且系统可以自动进行调整和管理,大大减轻了管理人员的负担。新一代IDS整合了基于行为的威胁检测、策略强制和网络智能。例如, StealthWatch已经能够提供深层防护策略,并能实现安全防护和网络管理的智能化。显然,这些创新为IDS带来了新活力。
正视固有缺陷
IDS能够有效识别出入侵企图,设计良好的IDS甚至可以当入侵发生的时候剖析并跟踪它。但是,它还是有一定局限性。传统的IDS和IPS(入侵防御系统)能够通过CVE ID或其他标识符识别恶意代码,并能找到该机器的IP地址。但是,它们不能找到发出攻击的机器,也不能确认哪些机器可能受到攻击,更不能确定攻击目标是否已受保护,或对其进行调节。最糟糕的是,IDS不仅不能解决这些问题,而且发出的警告也很不明确。随着现在对网络安全标准的提高和完善,对系统防护的要求越来越高。如果单纯依靠IDS,就如同只依靠杀毒软件保护计算机一样,同样是不可靠的。
合作带来前途
尽管IDS仍然大有用武之地,但它跟防火墙一样,也只能解决一部分问题。为此,企业开始把各种方式结合起来,形成多层的网络防御系统。其中包括很多网络安全组件,如杀毒、防火墙、扫描监控和基于网络和主机的IDS及IPS。它们分别处在网络设备从周边到核心的各个部分,各自发挥功效。尽管这些不同层次的防御都不能保证100%的安全,但都提高了安全性。
在防御策略中,每个组成部分都是基于特定的攻击进行防护,但是并不能识别出对应的网络缺陷。要识别和分析所有的攻击及变种,就需要把特定的数字签名配置到网络用户的任一节点上。由于数字签名越来越多,并且它们都引起入侵警告,所以多余的入侵警告也越来越多。因此,随着对安全要求的提高和系统复杂性的增大,解决方案会相当复杂和昂贵。这就要求在安全策略中有效地进行系统整合,用智能化的手段共享信息,以提高对混合型攻击的防御,并减轻管理负担和花费。
尽管IDS只是多层防护系统中的一部分,但却有它不可替代的作用。随着自身的革新和与其他技术的日益结合,IDS将会继续发挥其独特的作用。