曾经提到网络安全,很多人的第一反应就是防病毒、防火墙、IPS(IDS)这“老三样”。入侵防御系统(Intrusion Prevention System,简称“IPS”)作为过去几十年里应用最广泛、最成熟的网络安全产品之一,在持续监控可疑的恶意活动,检测和预防网络入侵方面发挥了巨大作用。不过,在企业数字化应用日益增多、新安全威胁不断涌现、网络边界逐渐打破的今天,IPS能否延续过去的风光?新一代IPS产品(技术)将如何发展?
1. 结合人工智能
人工智能(AI)正渗入到生活的方方面面,还渗入到众多安全工具中,其中包括IPS。AI大大解放了IPS,因为它可以自动处理许多检测步骤;能够发现异常的网络行为,并节省浏览日志的时间。
DNSFilter数据科学主管Adam Spotton表示,AI在网络安全发挥着重要作用,因为它依托设计人员的专长,可以自动做出决策。然而,AI并非可以作为一种现成解决方案来轻松部署。企业需认真考虑数据收集和训练过程的每一步,以便模型从实验室发布到实际环境后有效且可靠。这些考虑因素包括:敲定威胁识别问题、收集数据以便能够训练数据、迭代测试及改进,以及解释发现的结果。
如果做法得当,AI是一种强大的工具,不仅可以用来检测现有威胁,还可以用来检测不断演变的新威胁。比如说,基于AI的威胁检测表明,与传统的手动静态威胁源相比,它可以发现的威胁多出60%。IPS供应商正逐渐将AI整合到其工具中。
2. 与防护体系融合
正如IPS在整合更多的AI功能,现在一股愈演愈烈的趋势是:IPS工具本身被整合到更庞大的综合安全体系中。这也是安全行业整体的发展趋势。供应商不是为防病毒、反恶意软件、垃圾邮件检测、IPS、IDS等推出单独的产品,而是将它们打包到更加体系化的整体解决方案中。
例如,安全信息和事件管理(SIEM)工具常常添加IPS功能。Paul Caiazzo是提供包含IPS功能SIEM托管服务的咨询顾问,他表示,由于企业改用远程办公环境造成了更多的网络异常行为,许多企业需要优化和调整SIEM平台方面的专业知识,才能充分利用先进功能。
3. 勒索软件防御
鉴于勒索软件已成为一大威胁,许多企业开始意识到必须部署工具以防止勒索软件入侵。Caiazzo表示,攻击的成本随攻击时间的增加而增加,因此尽快识别威胁符合企业的最佳利益,将得逞的勒索软件攻击影响降至最低,需要尽早检测到攻击。
作为勒索软件防御和检测套件而销售的众多工具含有IPS功能,综合分析SIEM、IPS及其他系统提供的数据,可以识别潜在的攻击途径以免被利用,或者在早期阶段识别隐蔽的攻击,从而帮助企业搜寻威胁,比攻击者抢先一步采取安全措施。
4. 扩展防护边界
在传统IPS工具应用最广泛的时期,部署在网络边界是其最主要的应用形态。只要企业留意网络边缘,并防止任何威胁渗入,就可以确保安全。
这种应用模式正在改变,许多企业使用以边界为中心的网络安全策略,该策略对网络边界内部的潜在恶意流量几乎毫无可见性或控制度,这是单层防御机制。这种单层防御机制最终可能成为安全策略的最大风险点之一。
围绕企业总部或数据中心的IPS功能仍然至关重要,但它需要得到一系列更广泛功能的支持,以应对日益远程和分散的边界,因此纵深防御已成为新常态。纵深防御需要多层安全控制,以提高如果一层被击败,另一层可识别并阻止攻击的可能性。
5. IPS的云化应用
IPS过去安装在本地,由内部IT人员来维护和管理。这种模式仍有一定的市场。然而,当前,云工具基本上占据了主导地位。扩展检测和响应(XDR)套件提供广泛的基于云的端点保护,并包括IPS功能。同时,传统的IPS能力更容易被放到云端,从而更便捷地以服务化的形式提供给用户。
参考链接:
https://www.datamation.com/security/intrusion-prevention-system-trends/