大部分自动化的IPS 解决方案有助于在恶意活动到达其他安全设备或控件之前将其过滤掉。这减少了安全团队的手动工作,并允许其他安全产品更有效地执行。
IPS 解决方案在检测和防止漏洞利用方面也非常有效。发现漏洞后,通常会有一个利用机会窗口,然后才能应用安全补丁。这里使用入侵防御系统来快速阻止这些类型的攻击。
IPS 设备最初是在 2000 年代中期作为独立设备构建和发布的。此功能已集成到统一威胁管理 (UTM) 解决方案和下一代防火墙中。下一代 IPS 解决方案现在连接到基于云的计算和网络服务。
入侵防御系统如何工作
IPS 直接置于源和目标之间的网络流量流中。这就是 IPS 与其前身入侵检测系统 (IDS) 的区别。相反,IDS 是一种被动系统,可以扫描流量并报告威胁。该解决方案通常位于防火墙后面,分析进入网络的所有流量并在必要时采取自动操作。
这些行动可以包括:
- 向管理员发送警报(就像在 IDS 中看到的那样)
- 丢弃恶意数据包
- 阻止来自源地址的流量
- 重置连接
- 配置防火墙以防止未来的攻击
作为内联安全组件,IPS 必须能够:
- 高效工作以避免降低网络性能
- 快速工作,因为攻击可以近乎实时地发生
- 准确检测和响应以消除威胁和误报(即,将合法数据包误读为威胁)。
为了成功地做到这一点,有几种技术可用于发现漏洞利用和保护网络免受未经授权的访问。这些包括:
1、基于签名的检测是一种基于每个漏洞利用代码中唯一可识别模式(或签名)的字典的检测方法。当漏洞被发现时,它的签名被记录并存储在一个不断增长的签名字典中。IPS 的签名检测分为两种类型:
- 面向漏洞利用的签名通过触发特定漏洞利用尝试的独特模式来识别单个漏洞利用。IPS 可以通过在流量流中找到与面向漏洞利用的签名的匹配项来识别特定的漏洞利用。
- 面向漏洞的签名是更广泛的签名,针对目标系统中的潜在漏洞。这些签名可以保护网络免受身份不明的侵害。它们还会增加误报的风险。
2、基于异常的检测随机获取网络流量样本,并将它们与预先计算的基准性能水平进行比较。当流量活动超出基准性能参数时,IPS 会采取行动。
3、基于策略的检测需要系统管理员根据组织的安全策略和网络基础设施配置安全策略。如果发生任何违反定义的安全策略的活动,则会触发警报并发送给管理员。
入侵防御系统的类型
有多种类型的 IPS 解决方案,可以针对不同的目的进行部署。这些包括:
- 基于网络的入侵防御系统 (NIPS),安装在战略点以监控所有网络流量并扫描威胁。
- 主机入侵防御系统 (HIPS),安装在端点上,仅查看来自该机器的入站/出站流量。HIPS 通常与 NIPS 结合使用,作为威胁的最后一道防线。
- 网络行为分析 (NBA)分析网络流量以检测异常流量并发现新的恶意软件或零日漏洞。
- 无线入侵防御系统 (WIPS)扫描 Wi-Fi 网络以查找未经授权的访问并移除任何未经授权的设备。
入侵防御系统的好处
入侵防御系统具有许多安全优势:
- 降低业务风险和额外的安全性
- 更好地了解攻击,从而提供更好的保护
- 提高效率允许检查所有流量是否存在威胁
- 管理漏洞和补丁所需的资源更少
IPS 的关键特性
IPS 是防止某些最具威胁性和高级攻击的重要工具。在您选择的 IPS 中寻找以下功能:
IPS 漏洞保护
应用程序漏洞是漏洞、感染和勒索软件攻击生命周期中常见的初始步骤。虽然报告的漏洞数量每年都在持续增加,但对手只需要一个漏洞就可以访问组织。Apache Struts、Drupal、远程访问、VPN、Microsoft Exchange、Microsoft SMB、操作系统、浏览器和 IoT 系统等应用程序中的关键漏洞仍然是针对组织的首要尝试利用漏洞。漏洞利用和 RDP 妥协是攻击者获取企业访问权限和发起勒索软件攻击的两种主要方式。这使得漏洞保护成为安全的重要组成部分。
反恶意软件保护
基于流的扫描引擎检测已知恶意软件及其未知变体,然后高速内联阻止它们。IPS 和反恶意软件保护通过一项服务解决多个威胁向量。这是从传统供应商处购买和维护单独的 IPS 产品的便捷替代方案。
全面的命令和控制保护
在初始感染后,攻击者通过隐蔽的 C2 通道与主机通信。C2 通道用于拉下其他恶意软件、发出进一步指令和窃取数据。随着越来越多地使用 Cobalt Strike 等工具集以及加密或混淆的流量,攻击者更容易创建完全可定制的命令和控制通道。使用传统的基于签名的方法无法阻止这些通道。
因此,IPS 解决方案必须包含阻止和防止未知 C2 内联的功能。IPS 解决方案还应检测并阻止来自可能已受到以下威胁的系统的出站 C2 通信:
- 已知的恶意软件家族
- 网壳
- 远程访问木马
自动化安全操作
安全操作团队应该能够快速采取行动、隔离并实施策略来控制潜在的感染。这包括更强大的安全策略和控制,例如自动多因素身份验证。
广泛的可见性和精细控制
事件响应团队受益于能够立即确定哪些系统受到攻击以及哪些用户可能受到感染。这比根据 IP 地址猜测要有效得多。将对应用程序和用户的策略控制权交给 IT 和安全人员可以极大地简化网络安全策略的创建和管理。
一致、简化的策略管理
为了提供全面保护,现代分布式网络需要在以下方面采用一致的策略:
- 公司周边
- 数据中心
- 公有云和私有云
- 软件即服务应用程序
- 远程用户。
自动化威胁情报
生成和使用高质量的威胁情报很重要,但自动将该情报转化为保护措施也是必要的。现代 IPS 必须能够自动利用威胁情报来跟上攻击的速度。
用于规避威胁检测的深度学习
为了防止复杂和规避威胁的增加,入侵防御系统应该部署内联深度学习。内联深度学习可显着增强检测能力,并在不依赖签名的情况下准确识别前所未见的恶意流量。
深度学习模型经过多层分析并在几毫秒内处理数百万个数据点。这些复杂的模式识别系统以无与伦比的准确性分析网络流量活动。这样的系统还可以识别未知的恶意流量,几乎没有误报。这一附加的智能保护层可进一步保护敏感信息并防止可能使组织瘫痪的攻击。
入侵防御系统常见问题解答
问:入侵防御系统有哪两种主要类型?
答:入侵防御系统有多种检测恶意活动的方法,但最常用的两种主要方法如下:基于签名的检测和基于统计异常的检测。
问:使用 IPS 系统有什么优势?
答:使用 IPS,您可以识别恶意活动、记录和报告检测到的威胁,并采取预防措施阻止威胁造成严重破坏。
问:我需要带 IPS 的防火墙吗?
答:是的。IPS 之所以必要,部分原因是它们关闭了防火墙未插入的安全漏洞。指令预防系统旨在检测恶意攻击者并在他们危害系统之前拒绝访问。IPS 是下一代防火墙不可或缺的一部分,可提供急需的附加安全层。
