在我們上一次網絡廣播中,我們了解了這些瘋狂的首字母縮略詞IDS和IPS的遺留問題以及它們與UTM軟體模塊的相似之處。每個人都喜歡引物和簡單的描述性定義,所以讓我們一起思考一下。
入侵檢測傳感器(IDS)是一種最明顯可以檢測到的東西;但是有什麼事情?最終它可能是任何東西,但幸運的是大多數供應商都包含大量的「簽名」和/或檢測東西的方法。我想要檢測什麼?對於每個網絡,這個答案會有所不同,儘管通常它會尋找不尋常的流量。什麼不尋常?簡單來說,它是您不希望在網絡上流量的流量,無論是策略/濫用(IM,遊戲等)還是最新的惡意軟體。
正如他們在房地產中所說:它的位置,位置,位置。不是機架中的位置,而是IDS將監控的網絡部分。監控入口/出口點的流量將顯示進出的情況(當然,在防火牆策略批准之後),但可能不允許您看到遠程辦公室連接到核心組件。
您不想做的一件事是檢查防火牆公共端的流量。監控內部交換機上的所有流量(如LAN或DMZ)將允許IDS監控用戶活動或密鑰伺服器,但不會發現網絡其他部分發生的事情。除非您擁有無限的資源,否則您可能無法監控網絡上的所有內容,因此關鍵決策將是哪個流量最重要,哪個網段提供最佳優勢。
IDS可以被動地監控多個網段,並可以監控IPS或UTM永遠不會看到的流量,例如完全停留在LAN或DMZ內的流量。因此,IDS可以在桌面計算機上發出警報,攻擊LAN上的其他桌面計算機,這是IPS或UTM因內聯而錯過的內容。
IPS(入侵防禦傳感器)在大多數情況下都是IDS,除了它可以對當前流量進行內聯操作。這聽起來很棒嗎?好幾乎。 IPS和UTM本質上必須是內聯的,因此只能看到進出區域的流量。一個巨大的問題是IPS可以防止業務合法或創收流量(IPS,記住,可以改變流量)。 IPS操作包括drop,reset,shun或custom腳本操作,所有這些操作都會在簽名匹配時立即發生。如果IPS丟棄合法流量,這種可能的負面行為會使負責安全的人現在對收入損失負責。根據我們的經驗,只要您還利用區分IPS的關鍵組件,IPS設備就能成為出色的工具。
確保您的IPS設備能夠「失效打開」;這意味著如果應用程式的任何部分發生故障,甚至機箱發生故障(任何人都會斷電),該設備將繼續通過流量。沒有人想要一塊阻礙數據流動的磚塊。
還要意識到實際上只有一小部分簽名可以被允許對流量採取行動。為了幫助減少誤報率,應該有一個非常明確的家庭網或受保護的範圍,允許面向方向的簽名更有效。您還需要花費大量時間查看警報和事件輸出,以確保允許採取措施的簽名按預期工作。您可以在每次簽名更新時花更多時間預先花費更多時間,查看供應商選擇採取行動的簽名,並考慮這會如何影響您的流量。我們已經看到這種方法在防火牆在「開放」網段之間不是很受歡迎的環境中效果最好。
這將我們帶入統一威脅管理(UTM)設備中基於軟體的模塊。關於這些設備的關鍵項目恰好是缺點,儘管這並沒有降低它們的功效。顯然,它們只能位於UTM本身所在的位置。通常,這是您的Internet網關或LAN和DMZ之間的訪問控制點的交接點。在這種情況下,UTM將無法查看DMZ或LAN上的所有系統到系統流量,而只能看到來自該段的流量。
此外,UTM不是專用平台,因此傾向於具有更高的誤報率(儘管這越來越好)。在高CPU或內存利用率的情況下,它們將關閉軟體模塊以保留設備的主要功能,作為防火牆。這是與不是專用平台相關的重要一點,有助於證明對專用設備的請求是合理的。如果您擁有的是這樣的設備,我們會說它!從您的網絡進出流量比看到根本沒有任何IDS要好得多。請您的供應商驗證他們是否在防火牆策略後對邏輯流量進行了邏輯檢查,如果您的設備進入保存模式或始終看到高資源利用率,請務必立即通知自己。
這三者中沒有一個是「設置並忘記它」的設備。 每天都會出現新的惡意軟體和利用和檢測的載體。 無論您的選擇如何,您都會經常在簽名事件/警報輸出中重複進行維護,並且需要更新和管理您的策略,尤其是在IPS的情況下。 更新可以自動應用於所討論的任何設備,但這並不能免除人工審查的需要。 每天留出一些時間來檢查您的設備,並考慮關閉在您的環境中沒有任何作用的簽名組(想想「基於策略」)並精確調整其他噪音。
我們所寫的所有警示性聲明都希望不會嚇到你。 在您的環境中進行流量檢查是了解網絡流量的好方法。
原文:https://www.alienvault.com/blogs/security-essentials/ids-ips-and-utm-whats-the-difference
本文:http://pub.intelligentx.net/ids-vs-ips-vs-utm-whats-difference
討論:請加入知識星球或者小紅圈【首席架構師圈】