去年上半年,整個IDS(Intrusion Detection System,入侵偵測系統)和IPS(Intrusion Prevention System,入侵防禦系統)市場一片混亂。當時,企業發現防火牆無法阻擋某些攻擊,所以開始尋找其他的解決方案,這個時候,IDS號稱擁有IPS功能,IPS又宣稱具備IDS功能,而某些防火牆又同時具備IDS和IPS功能。一些研究機構又跳出來火上加油,有的認為IDS將被IPS所取代,有的認為整合型安全裝置才是市場的未來趨勢。企業不僅不知道該如何區分IDS和IPS,更不知該使用何種解決方案?為什麼需要IDS和IPS?誰需要?
如果今天沒有IDS或IPS,網路也許早就被DDoS攻擊和蠕蟲所癱瘓,你現在根本就上不了網、無法玩線上遊戲、無法線上交易、不能瀏覽網站、不能收發信件,整個網路世界全面失控。
IDS和IPS存在的原因就在於市場需求。很多企業已經有建置防火牆、防毒、交換器…等設備,依然發現網路有問題、怪怪的,但卻又無法確定問題在那邊。
威播科技國外業務部業務經理曾于洲說:「有些企業即使被駭了,也搞不清是發生什麼狀況。」
如果你也不知道問題出在哪裡,發生什麼狀況,其實很容易解決,只要IPS一上線,就能夠知道問題出在哪裡,而且IPS最大的好處就是能讓遭受攻擊的網路恢復正常,MIS人員也不必再忙於奔命。
事實上,許多大型企業都已經了解IDS或IPS的差別,也開始評估相關的產品,但他們仍不像防火牆和防毒軟體,被認為是必備的安全裝置。
我們舉2個例子,讓你更容易了解何謂IDS和IPS。
Juniper亞太區業務經理陳雄龍認為IDS是被動的網路探照燈,就像銀行保險庫裡的閉路電視,只能監視,無法逮捕搶犯,而IPS則是可以直接拘捕罪犯的警察。
精業公司資訊安全事業部技術顧問盛盟權說:「IDS在企業內扮演稽核的角色, IPS則能夠補強IDS的不足,杜絕資安死角。」雖然防毒系統可以阻止蠕蟲的蔓延,但由於授權和病毒碼更新等問題,還是存在許多死角,IPS剛好可以補強哪些死角。亡羊補牢,痛過才知道!
了解IDS和IPS後,你就會建置解決方案嗎?我想應該不會,因為沒有感受過「痛的感覺」,當然也就不會認同IDS和IPS的效用。沒辦法,我們總是習慣亡羊補牢!
不僅是對IDS和IPS的認知不夠,企業對安全的認知也仍然不夠,甚至連基本的危機意識都沒有。也許你曾聽到廠商說,他們擔任「消防員」,在企業面臨攻擊時,直接上戰場滅火,而這種「救火」的個案,通常也最容易銷售產品,因為這個時候你根本沒得選擇,只能任人宰割。
騰蒙曾經針對「IPS建置周期」做過統計,有出過問題的企業,大約數周就可以結案,但沒出現問題的企業,則要花三個月時間才能夠結案。騰蒙科技網路事業處專案技術經理蔡旻甫表示,會來找IPS解決方案的人,都是曾經受過傷的人,因為他們知道防火牆已經擋不住了。
電子商務的相關廠商,是容易受傷的一群人,由於許多人試圖去攻擊或癱瘓電子商務網站,當網站無法營運時,IPS就成為最佳的金創藥。精業公司資訊安全事業部產品經理陳家煌說:「以前資安設備不是生財工具,所以很難推展,但現在IPS能夠立桿見影的解決掉80%的問題,不僅保護企業的生財工具,還能讓頻寬多出50%。」
有人吃過虧才學乖,但也有些人非常幸運,早就事先建置相關的資安解決方案,最好的例子就是政府機關的評選標。鈺松國際企業行銷處經理李南慶表示,雖然在標案裡只有網路設備、主機和系統,但投標的廠商大都會將資訊安全設備當作紅利,包含IDS和IPS設備,以規畫出更完整的解決方案。
除了上述兩種人,還有非常保守的第三種人,那就是金融業。銀行業者擔心網路銀行的封包流過IPS後,可能會遭到變動或丟棄,所以大多數都只建置IDS系統。
也許因為他們一朝被蛇咬,才會十年怕草繩。Symantec技術顧問林育民說:「比較早導入IPS的企業,都有誤報和誤攔的問題,必須花費許多時間去找出問題點與調校政策。」哪些曾有過不好經驗的企業,通常第一個反應就是產品是否容易誤判(false positives),不小心就會將封包攔下來,需要浪費很多時間去找出問題點。
事實上,隨著技術的演進,IPS的誤判率也跟著降低,廠商也會針對金融業自行撰寫的應用程式,提供客製化服務,所以我們也看到一些銀行開始嚐試IPS,這應該是不錯的開始。 如果你也開始有點心動,先別急,看完下一段內容再說。入侵防禦雙雄的優點與缺點
防禦技術沒有十全十美,每個資安產品都是相輔相成,有其優勢,也有不足的地方,IDS和IPS當然也是。
IDS是一個被動的監聽裝置,不會影響網路上的效能,而且敏感度可以設定的比較寬鬆,但不具備即時阻擋的能力;IPS則是串連(in-line)裝置,會影響到網路效能,敏感度不能設的太高,還要花很多的時間去調校,不然很容易產生誤判。
另外,IDS能夠用比較少的預算,監控比較大的範圍;相對的,IPS的成本就比高,因為一條實體線路就需要2個埠,所以大多放在閘道端,不過,IPS能夠即時阻擋攻擊和蠕蟲擴散,讓MIS有足夠的時間進行復原與弱點修補。
蔡旻甫認為,根據80/20理論,IPS是花20%的預算,可以解決80%的安全問題,是很容易看到效益的產品;至於內容過濾和弱點掃描則相反。
「誤判」是入侵雙雄最為人垢病的缺點。一般而言,知名大廠能將誤判率降低在總事件量的5%以下。
曾于洲表示,真正懂技術的人就知道有些狀況並不是誤判,而有些事件絕對不會有誤判,例如蠕蟲和緩衝區溢位(buffer overflow)。誤判的發生率與系統的事件特徵檔(pattern file)有關,特徵檔在發布之前必須經過嚴格的測試程序,以確定不會發生誤判事件。
比較常發生的應該是誤警(false alarm)。誤警是一些可疑的事件,但不一定是危安事件,例如在某個環境下,若SYNC封包沒有跟隨相對應的ACK封包,就會被視為SYN Flood攻擊,但是對於非常忙碌的網頁伺服器而言,這是有可能的。誤警事件可以透過系統調校來減少,包括調校偵測特徵、偵測政策、與被攻擊主機系統弱點資訊做關聯式分析等方式來解決。
在技術成熟度方面,各家廠商的攻擊特徵技術已經很成熟,幾乎都能夠在24小時內產生新的攻擊特徵,並且每周定期進行更新,但是硬體處理速度(效能)則還有很大的成長空間。Juniper技術顧問冼伯齡說:「每家廠商都想將這兩種技術整合在一起,所以有個蠻有趣的現象,重視效能的產品,通常就比較不注重攻擊特徵,反之亦同。」
IDS換機潮?
相信有些人已經認為IPS的確合乎所需,準備把IDS給替換掉,我們恭喜你,你將成為IDS換機潮的一員。
每次聽到換機潮,總會懷疑這是廠商的宣傳手法,因為科技的競爭永遠不會停止,廠商不斷推出新技術、新產品,「換機潮」是一種不錯的行銷手法,加上媒體關注這方面的議題,使用者自然也會接收到相關的訊息。
事實真相如何呢?
每一個新的科技出現,都會歷經啟發期、教育期、成長期及成熟期等四個時期,目前臺灣企業對IPS的認知仍不足,還停留在啟發期,至少還要一、二年的時間進行教育。
陳雄龍說:「IDS換機潮就像是既有利益把持者與新興勢力的鬥爭,這就像民進黨與國民黨之間的鬥爭。」新的科技會取代舊的科技,所以IDS被IPS取代是正確的,但目前IDS佔80%的市場,IPS只佔5~10%,所以還要歷經一段替換期。
在替換的過程中,企業並不會把所有的IDS丟進垃圾桶,而是會將它移到內部網路或其他合適的位置,並在重要的關卡設置IPS。IDS仍有其存在的必要性,只是它正從閘道端的監控,轉而負責內部網段稽核的工作,確認內部人員有無從事非法行為。
未來,IDS應該會納入SIM(Security Information Management,資訊安全訊息管理)系統,讓整個資訊更完整。建議你在採購IPS時,請廠商協助規畫IDS的用途。
從另一個角度來看,之前IDS會有那麼多警示,就是因為許多攻擊並沒有針對某個目標,可能只是為了癱瘓網路,例如DDoS攻擊,這時IDS根本無法起作用。
陳家煌說:「即使IPS只是用來阻擋DDoS攻擊,這也是值得的! 」
總結來說,目前只是一些企業開始新購具備IDS功能的IPS,但還沒有出現所謂的IDS換機潮,而且許多企業是IDS和IPS混合使用。就市場及趨勢面來看,換機是一種擋不住的潮流,卻不一定非換不可,而且可以換的企業似乎並不多,畢竟買的起IDS的企業,也就是哪幾家。
整合型安全裝置 vs. IPS
另一個熱門的議題是,企業該不該選擇整合型安全裝置?如果購買具備IPS功能的產品,是否就不需再購買IPS呢?
站在企業的立場,大家都想挑選「便宜又大碗」,具備所有功能的產品,但這只是理想,與事實還有一段不小的差距。IPS是單一功能的產品,並不需整合多種複雜的技術,所需克服的問題也較少,所以產品和技術成熟度較高,相對的,整合型安全裝置的技術門檻就比較高,不是每一家廠商都可以做的。
在短期之內,整合型安全裝置尚無法取代IPS的地位。從需求面來看,大型企業會擔心單點故障(single point failure)問題,只要這個裝置故障,不僅無法防駭,也無法防毒、防垃圾郵件,所有的安全功能都會失效;從技術面來看,整合型安全裝置的技術仍未成熟,效能是最大的問題,特別是在開啟多種功能之後,效能立即大幅下降,必須購買頂級的產品才能符合需求,但ROI就會非常低。另外,大型企業希望買到最好的技術,防火牆、防毒和IPS都要買最好的產品,整合型產品的專業度不可能都是100分。
威播科技國外業務部業務經理林秉忠說:「IPS是很專業的玩意,或許整合型安全裝置能讓每項功能都達到80分,但專業的IPS廠商則能提供90分以上。」如果企業主要的需求是防火牆,那麼倒是可以考慮整合型安全裝置所提供的附加價值,但也要注意整合型安全設備效能不夠,及專業度不足的問題。
陳家煌舉了一個簡單的例子,如果我們半夜開車,開到紅綠燈口遇到臨檢,這時所有的流量都堵在這裡,但如果在路口之前就先進行檢查,攔下喝醉酒的人,這樣交通就會順暢多了。整合型安全裝置就像是在紅綠燈口才進行攔檢;如果IPS在先前就進行檢查,那麼防火牆就能夠很順暢。
短期間內,整合型安全裝置仍無法撼動IPS的地位。
入侵雙雄的未來展望
最後,讓我們來談談IPS未來的展望吧!
根據Gartner的報告,他們將防火牆、IPS、Content Switch、Application Firewall歸為「Deep Inspection Firewall」,由於這些產品使用相似的技術,未來應該會逐漸合為一體。陳家煌說:「從國外的報告和研究可以看到一個趨勢,沒有誰會取代誰,以後各種產品的界線會越來越模糊。」
從功能面來看,網路世界有三道牆-防火牆、防毒牆及防駭牆,而IDS和IPS就是防駭牆,它能確保網路健康,防止被攻擊,如果三道牆做在一起就是整合型安全設備。陳雄龍說:「產品的整合是必然的趨勢,但也要考慮到穩定度、效能及售價,以客戶的需求為依歸,如此才能設計出合適的產品。」
硬體裝置也是必然的趨勢之一,不論是IDS或IPS都逐漸走向Appliance,舊版的軟體IDS會逐漸升級成硬體裝置。廠商也會開發同時支援IDS和IPS的裝置。
另外,還有一個與你切身相關的議題。李南慶說:「在大型企業中,防火牆和IPS是不同部門和人員負責管理,如果以後只需要由一個人負責管理,也就代表人事會更精簡。」
從長期來看,在3至5年內會走向All in One架構,但到時候勢必又有新的攻擊。蔡旻甫說:「之前路由器防不住攻擊,大家開始購買防火牆,當防火牆又擋不住時,開始採購IDS和IPS,之後如果IPS也擋不住了,必然又會有新的安全裝置。」
目前路由器已經內建防火牆功能,當技術成熟,也解決硬體效能瓶頸之後,未來防火牆應該也會開始內建IPS功能,甚至交換器內建IPS功能。
林秉忠認為,每個產品都會有它的生命周期,對於中大型企業而言,IPS至少仍會存在3年,之後可能會被整合型安全裝置所取代。
如果林秉忠的推論是正確的,那麼IPS至少還有3年的壽命,當然也就不止是有「明天」。IDS呢?隨著IDS與IPS的整合,單純的IDS產品肯定會越來越乏人問津。
正名運動
IDS:入侵偵測系統(Intrusion Detection System)
IDP:入侵偵測與防禦(Intrusion Detection & Prevention)
IPS:入侵防禦系統(Intrusion Prevention System)或叫入侵預防、入侵防護系統
IDS這個詞沒有什麼異議,大家都稱為入侵偵測系統,但是IDP和IPS就比較搞不定了,雖然各家廠商有不同的說法,但由於Juniper已經將「IDP」註冊,而且它的產品線就稱做IDP,是唯一產品名稱為IDP的廠商,其他廠商為了怕跟它混淆,幾乎都稱做IPS,也比較沒有產品色彩。至於中文的譯名,不論是叫入侵防禦、入侵預防或入侵防護,其實都是IPS。
測試指南
你買產品之前,會先進行測試嗎?除了貨比三家之外,幾乎沒有人是沒有測就下單的,以下介紹幾種IPS的測試方式:
由於現在的IPS可以使用透通模式,並不會影響到網路架構,所以企業的測試意願很高。但是,壓力測試就有些爭議,由於每個企業環境都不一樣,所以很難全面。
李南慶表示,有些ISP和學校會進行壓力測試,但壓力測試與實際測試,多少還是會有不一樣的地方,即使壓力測試的數據很好,但仍無法預期實際測試的結果。大部分狀況是直接進行實際,時間大約2個星期至數個月。
精業則建議三種實測方式,第一種狀況是當企業遭受嚴重攻擊時,IPS直接做為閘道器,並由專家調校政策;第二種狀況是在普通狀況下,先以IDS模式監看,讓企業了解狀況後,再開啟IPS模式;第三種方式則是利用戰斧(Tomahawk)進行攻擊,實際讓企業體驗一下遭受攻擊的感覺。
蔡旻甫認為,除了上線測試之外,拆機器是最好的檢驗方式。目前市場上的主流可分成PC架構和硬體架構(Hardware base),如果拆開來之後是PC架構,就可以想得到它的效能極限在哪裡;使用專門ASIC進行特徵比對的IPS,它的效能會比較好。
林育民則有不同的看法,採用PC架構的IPS,優點是可以很快速的更新版本,甚至增加新功能,而採用ASIC的產品,雖然效能比較好,但所需的研發時間和成本都比較高,比較不容易快速更新功能,尤其是現今的網路攻擊日新月異,硬體式架構卻無法即時更新。
建議在測試之前,先了解各種產品的特性、測試方法的優缺點。
採購指南
如果你還沒有打電話向「救火隊」求救,相信你會有時間在採購前先進行評估。
品牌、效能、售價、技術等因素,都是企業採購IPS應該考量的因素。以下我們列出採購時該注意的事項:
品牌:不用我們多說,目前市場上的IPS主流品牌不到10家,相信你很容易找到相關的資訊,或是參考我們列的廠商資訊。
代理商和經銷商:這兩個因素與品牌習習相關,因為網路設備調校之後,很少需要去變動,但安全設備則不同,隨時都需要去變動,所以代理商的技術支援就很重要。
有些廠商是以賣網路設備的心態來賣IPS,而缺乏相關的技術與服務,舉例來說,如果一個應用程式被擋住,最後卻讓全部的程式通過,這樣不如不要用。
也有些代理商只是把IPS當作產品或裝置在販售,並沒有投入必須的技術人力與後勤支援,甚至必須由原廠從國外調派人員進行系統調校,在這樣的情況下,你放心嗎?
在南部某政府單位的測試評比中,就有某家SI廠商,因為對產品不熟悉,未將產品設定成攔阻模式,而錯失入選的機會。
另外,廠商的機動性也是考量之一。目前各家產品幾乎都能抵擋Skype、QQ或SoftEther,但如果推出新版本、使用其他的埠或改變行為模式,可能原本的攻擊特徵就擋不住,機動性高的廠商才能在最快的時間內找出對策。
企業預算與產品價格:在採購前,最好先評估目前網路架構中,已經投資哪些設備,買了哪些產品,如果已經買了防火牆,或許不適合再購買整合型安全裝置,而是購買單一設備的IPS。
另外,許多企業通常是去年編的預算,今年執行,如果當初評選的產品項目較少,或收集的資訊不足,所訂的預算大都偏低。相反的,大多數IPS產品的定價(建議售價)都訂的很高,可以高達四、五百萬元,自然有蠻大的議價空間。
此外,國內廠商的價格又會比國外低許多,或許是選購時的參考指標之一。如果你要買百萬等級的名牌,適合選購國外高階產品,如果是要買數十萬的設備,則可以考慮比較國外品牌的低階產品,或國內廠商的產品。
但對中小型企業而言,目前IPS仍過於昂貴。
部署位置:在閘道端或同時需要多種安全功能,可以考慮選購整合型安全裝置;企業內部的防護可以選購同時具備IDS和IPS模式的裝置,能夠防護內部網段,阻擋更多的後門及木馬程式。
攻擊特徵:攻擊特徵數量只是一個行銷手法,任何一家廠商都可以將現有的特徵灌水3~4倍,所以要比的不是數量,而是彈性與準確率。
如果攻擊特徵寫的好,一個特徵能夠偵測多種同類型攻擊,但寫不好的話,也許同一個攻擊需要多個攻擊特徵,這與產品所使用的程式語言和撰寫方式有很大的關係。目前比較新的方式是採用弱點攻擊特徵(Vulnerability Signature),在弱點公布的同時就會產生攻擊特徵,不論攻擊程式和蠕蟲如何變化,都可以直接偵測出來,而且不必像其他產品需要有攻擊程式才能產生攻擊特徵。而且,攻擊特徵的更新速度必須跟駭客一樣快,或是更快,才能防禦Zero Day Attack。
一些產品發展至今,可能已有不少包袱,所以無法立即改變,使用新的技術;使用ASIC的產品,如果要使用這種技術,可能整個晶片要重新開發,需要一段時間才能完成。另外,也有廠商提供攻擊特徵給客戶進行修改,能夠更有彈性的進行微調,並非只是「用」與「不用」。
測試報告:參考一些第三方公正單位的測試評比,例如NSS和ICSA,也是不錯的指標。NSS認證分成NSS Tested、NSS Approved及NSS Gold Award,其中的Gold Award只有TippingPoint UnityOne-1200 V1.4獲得。另外,在查看資料時,也要注意廠商所送測的產品版本,Juniper在年初所公布的報告中,送測的版本是2.X版,成績並不理想,之後補測的3.0版,則有較佳的成績。可至 www.nss.co.uk取得相關資料。
另外,NSS所測試出來的效能數據,會比廠商所提供的數字來得客觀與準確。另外,雖然效能很重要,但也要注意產品的延遲性,由於每個封包都會透過IPS進行檢查,所以要找延遲性低的產品,才不會讓封包延遲太久。
報表:每個產品都會產生報表,但報表內容就差異甚大,有的圖文並茂,有的只是簡單的Log,有的是中文,有的是英文,就視你的需求而定。
大型企業的報表是用來稽核用的,但中型企業內部可能並沒有稽核單位,大部分的報表是用來交差,拿給老板看,如果不想每個月花時間整理,最好選擇有中文報表的產品或服務。由於現在的報表大都是「純技術」報表,如果你需要專家來講解報表的內容,也有廠商提供報表服務,但別忘了要先簽署相關的保密合約。
技術能量:如果後端的力量越強,防堵的力量也就越大,所以廠商的Knowledge base非常重要,如果採用開放原始碼的產品,可能要擔心蠕蟲出現後,攻擊特徵仍未更新。為了加強本身的技術能量,我們也看到許多廠商開始併購相關的產品或技術,但併購只是開始,後續的整合成功與否才是重點。也許等到下一個「Slammer」出現時,就可以看出更家廠商的技術能量高低。
管理界面:IPS必須隨著環境變更而做調整,管理就顯得非常重要,必須容易使用、部署與了解,操作的過程與界面越簡單越好,而且當問題發生時,必須能夠立即通知管理者。有些產品內建與SOC連線的能力,可以直接透過SOC代管,如果之後有委外代管的打算,倒是可以參考。除了上列的各點,每家產品都有獨自的關鍵技術與功能,例如Symantec的自動防護及One Click、TippingPoint的流量限制、Juniper的ESP(Enterprise Security Profiler)、威播的Real time OS,可做是採購時的參考指標。文⊙陳世煌
