Gartner Research 最近針對「新一代網路入侵防禦」導入了數個新的條件,如果採用,這些條件可幫助企業面對新的威脅環境。Gartner 對新一代網路入侵防禦的定義如下:
•標準第一代 IPS 功能,支援處理弱點的攻擊特徵與處理威脅的攻擊特徵 — 主要特點就是一個以線路速度執行偵測與阻擋並快速開發與部署攻擊特徵的 IPS 引擎。此外還可以根據 IPS 偵測需求,整合如在防火牆提供建議阻擋等功能。
•可識別應用程式並實施網路安全政策的應用程式感知能力和所有層級的可見度 — 這項功能作用在應用層,與通訊埠與通訊協定無關,不用依賴通訊埠、通訊協定與服務。例如能夠根據識別出惡意的應用程式阻擋同一系列的攻擊。
•外部情報感知,可取得來自 IPS 外部來源的資訊,以改善阻擋決策或修改阻擋規則庫 ─ 例如使用者目錄整合以將決策和使用者身分識別連接起來,然後使用弱點、修補狀態與地理位置資訊 (例如來源來自何處或來源應來自何處) 做出更有效的阻擋決策。它也包含整合信譽饋入資訊,例如位址的黑名單與白名單等。
•各種檔案類型與通訊的內容感知 — 它應該能夠偵測並分類傳入的執行檔及其他類似的檔案類型,例如 PDF 與 Microsoft Office 檔案 (已通過防毒篩選),以及傳出通訊。此外,它應該能以近乎即時的速度通過、隔離或捨棄決策。
•靈活的引擎 — 它應支援新的饋入資訊與新技術整合的升級,以處理未來威脅,包括無縫升級、全域威脅智慧整合、可擴充硬體、特徵更新、Snort 功能、封包擷取及補充解決方案 (來源:Gartner,定義新一代網路入侵防禦,2011)
雖然 Gartner 解決了新一代網路 IPS 的最小需求,但網路 IPS 解決方案也有大幅降低營運開支的明確需求,並且必須調查及杜絕隱密的多階段攻擊。大多數企業中的資源無法配置抵抗新威脅的專業人力,因此新一代的網路 IPS 工作將更為繁重,還得要指導資淺的分析人員做出正確的見解,讓他們能將重心放在政策與回應,而非手動關聯事件上。新一代 IPS 解決方案的重要管理功能必須包括:
•無須調整 IPS 政策,以達成安全效益
•自動進行事件關聯與警示,而非手動
•整合端對端攻擊的事件資訊,無需使用多個工具與檢視
•將外部情報整合成直覺、資訊豐富的檢視
•根據企業政策制定簡單、以應用程式為中心的管控功能
•根據自然的事件調查與解決方法制定工作流程
下一期,我們將探討如何選擇一部完全符合 Gartner 定義且因應未來網路環境的新世代 IPS。
熱門新聞
2025-12-12
2025-12-16
2025-12-17
2025-12-15
2025-12-15
2025-12-16
