大部分自動化的IPS 解決方案有助于在惡意活動到達其他安全設備或控件之前將其過濾掉。這減少了安全團隊的手動工作,并允許其他安全產品更有效地執行。
IPS 解決方案在檢測和防止漏洞利用方面也非常有效。發現漏洞后,通常會有一個利用機會窗口,然后才能應用安全補丁。這里使用入侵防御系統來快速阻止這些類型的攻擊。
IPS 設備最初是在 2000 年代中期作為獨立設備構建和發布的。此功能已集成到統一威脅管理 (UTM) 解決方案和下一代防火墻中。下一代 IPS 解決方案現在連接到基于云的計算和網絡服務。
入侵防御系統如何工作
IPS 直接置于源和目標之間的網絡流量流中。這就是 IPS 與其前身入侵檢測系統 (IDS) 的區別。相反,IDS 是一種被動系統,可以掃描流量并報告威脅。該解決方案通常位于防火墻后面,分析進入網絡的所有流量并在必要時采取自動操作。
這些行動可以包括:
- 向管理員發送警報(就像在 IDS 中看到的那樣)
- 丟棄惡意數據包
- 阻止來自源地址的流量
- 重置連接
- 配置防火墻以防止未來的攻擊
作為內聯安全組件,IPS 必須能夠:
- 高效工作以避免降低網絡性能
- 快速工作,因為攻擊可以近乎實時地發生
- 準確檢測和響應以消除威脅和誤報(即,將合法數據包誤讀為威脅)。
為了成功地做到這一點,有幾種技術可用于發現漏洞利用和保護網絡免受未經授權的訪問。這些包括:
1、基于簽名的檢測是一種基于每個漏洞利用代碼中唯一可識別模式(或簽名)的字典的檢測方法。當漏洞被發現時,它的簽名被記錄并存儲在一個不斷增長的簽名字典中。IPS 的簽名檢測分為兩種類型:
- 面向漏洞利用的簽名通過觸發特定漏洞利用嘗試的獨特模式來識別單個漏洞利用。IPS 可以通過在流量流中找到與面向漏洞利用的簽名的匹配項來識別特定的漏洞利用。
- 面向漏洞的簽名是更廣泛的簽名,針對目標系統中的潛在漏洞。這些簽名可以保護網絡免受身份不明的侵害。它們還會增加誤報的風險。
2、基于異常的檢測隨機獲取網絡流量樣本,并將它們與預先計算的基準性能水平進行比較。當流量活動超出基準性能參數時,IPS 會采取行動。
3、基于策略的檢測需要系統管理員根據組織的安全策略和網絡基礎設施配置安全策略。如果發生任何違反定義的安全策略的活動,則會觸發警報并發送給管理員。
入侵防御系統的類型
有多種類型的 IPS 解決方案,可以針對不同的目的進行部署。這些包括:
- 基于網絡的入侵防御系統 (NIPS),安裝在戰略點以監控所有網絡流量并掃描威脅。
- 主機入侵防御系統 (HIPS),安裝在端點上,僅查看來自該機器的入站/出站流量。HIPS 通常與 NIPS 結合使用,作為威脅的最后一道防線。
- 網絡行為分析 (NBA)分析網絡流量以檢測異常流量并發現新的惡意軟件或零日漏洞。
- 無線入侵防御系統 (WIPS)掃描 Wi-Fi 網絡以查找未經授權的訪問并移除任何未經授權的設備。
入侵防御系統的好處
入侵防御系統具有許多安全優勢:
- 降低業務風險和額外的安全性
- 更好地了解攻擊,從而提供更好的保護
- 提高效率允許檢查所有流量是否存在威脅
- 管理漏洞和補丁所需的資源更少
IPS 的關鍵特性
IPS 是防止某些最具威脅性和高級攻擊的重要工具。在您選擇的 IPS 中尋找以下功能:
IPS 漏洞保護
應用程序漏洞是漏洞、感染和勒索軟件攻擊生命周期中常見的初始步驟。雖然報告的漏洞數量每年都在持續增加,但對手只需要一個漏洞就可以訪問組織。Apache Struts、Drupal、遠程訪問、VPN、Microsoft Exchange、Microsoft SMB、操作系統、瀏覽器和 IoT 系統等應用程序中的關鍵漏洞仍然是針對組織的首要嘗試利用漏洞。漏洞利用和 RDP 妥協是攻擊者獲取企業訪問權限和發起勒索軟件攻擊的兩種主要方式。這使得漏洞保護成為安全的重要組成部分。
反惡意軟件保護
基于流的掃描引擎檢測已知惡意軟件及其未知變體,然后高速內聯阻止它們。IPS 和反惡意軟件保護通過一項服務解決多個威脅向量。這是從傳統供應商處購買和維護單獨的 IPS 產品的便捷替代方案。
全面的命令和控制保護
在初始感染后,攻擊者通過隱蔽的 C2 通道與主機通信。C2 通道用于拉下其他惡意軟件、發出進一步指令和竊取數據。隨著越來越多地使用 Cobalt Strike 等工具集以及加密或混淆的流量,攻擊者更容易創建完全可定制的命令和控制通道。使用傳統的基于簽名的方法無法阻止這些通道。
因此,IPS 解決方案必須包含阻止和防止未知 C2 內聯的功能。IPS 解決方案還應檢測并阻止來自可能已受到以下威脅的系統的出站 C2 通信:
- 已知的惡意軟件家族
- 網殼
- 遠程訪問木馬
自動化安全操作
安全操作團隊應該能夠快速采取行動、隔離并實施策略來控制潛在的感染。這包括更強大的安全策略和控制,例如自動多因素身份驗證。
廣泛的可見性和精細控制
事件響應團隊受益于能夠立即確定哪些系統受到攻擊以及哪些用戶可能受到感染。這比根據 IP 地址猜測要有效得多。將對應用程序和用戶的策略控制權交給 IT 和安全人員可以極大地簡化網絡安全策略的創建和管理。
一致、簡化的策略管理
為了提供全面保護,現代分布式網絡需要在以下方面采用一致的策略:
- 公司周邊
- 數據中心
- 公有云和私有云
- 軟件即服務應用程序
- 遠程用戶。
自動化威脅情報
生成和使用高質量的威脅情報很重要,但自動將該情報轉化為保護措施也是必要的。現代 IPS 必須能夠自動利用威脅情報來跟上攻擊的速度。
用于規避威脅檢測的深度學習
為了防止復雜和規避威脅的增加,入侵防御系統應該部署內聯深度學習。內聯深度學習可顯著增強檢測能力,并在不依賴簽名的情況下準確識別前所未見的惡意流量。
深度學習模型經過多層分析并在幾毫秒內處理數百萬個數據點。這些復雜的模式識別系統以無與倫比的準確性分析網絡流量活動。這樣的系統還可以識別未知的惡意流量,幾乎沒有誤報。這一附加的智能保護層可進一步保護敏感信息并防止可能使組織癱瘓的攻擊。
入侵防御系統常見問題解答
問:入侵防御系統有哪兩種主要類型?
答:入侵防御系統有多種檢測惡意活動的方法,但最常用的兩種主要方法如下:基于簽名的檢測和基于統計異常的檢測。
問:使用 IPS 系統有什么優勢?
答:使用 IPS,您可以識別惡意活動、記錄和報告檢測到的威脅,并采取預防措施阻止威脅造成嚴重破壞。
問:我需要帶 IPS 的防火墻嗎?
答:是的。IPS 之所以必要,部分原因是它們關閉了防火墻未插入的安全漏洞。指令預防系統旨在檢測惡意攻擊者并在他們危害系統之前拒絕訪問。IPS 是下一代防火墻不可或缺的一部分,可提供急需的附加安全層。
