傳統第一代的入侵防 禦系統(IPS),就像是一個黑盒子,24小時持續不斷的記錄攻擊事件。平時沒事發生時,就相安無事,但是當事情發生時,"歹誌就大條了"。因為大部份的管理者對於IPS的防禦規則是每季調整(甚至從未調整),所以根本就無法阻擋新式攻擊;即使有留下事件日誌,也因為數量龐大,需要花費大量的人力和時間去分析,當找出問題點時,早已過了處理的黃金期。
每天有看不到的事件日誌,更是許多資安管理人員的痛,因為傳統的Top N及嚴重性報表,很難從中找到有用的資訊,舉例來說,當要分析某個攻擊事件時,上面只有攻擊名稱及目的主機,管理人員還要東查西找,才知道這台主機是不是存在,上面運行什麼作業系統,上面執行哪些應用程式,是不是有漏洞…。追根究底來說,是因為傳統的入侵防禦系統並不清楚要保護什麼,只知道看到攻擊就要擋下來,不論該攻擊是否有效。
Sourcefire新世代入侵防禦系統,顛覆我們對IPS的概念與印象,它認為要做到最完善的安全防禦,必須先清楚要保護的對象是誰,Sourcefire獨家的網路偵測感知技術,能夠24*7不停的運作,自動探索網路內部有哪些作業系統、應用程式、網路設備及行動裝置…等,特別適用在現今動態變動的網路架構。然後再根據這些資訊,自動提供調校規則的建議(或可自動調校規則設定),給予管理人員最佳的防禦建議,等於是請了一個資安顧問到府服務。這樣的做法,徹底解決傳統入侵防禦系統的空窗期、無法即時回應等問題。
由於知道內部有哪些設備、主機、系統及應用程式,因此,Sourcefire將攻擊日誌分成四級,不存在的主機、未開啟的服務或已修補漏洞的攻擊事件,都不需要關注,資安管理人員可以全心全力去關注真正重要的資安事件,大約只佔全部攻擊事件的5%,例如攻擊存在漏洞的Windows 2008 Server或Adobe程式。
當管理人員檢視這些重要事件時,可以輕鬆的在關連式分析主控台上,找到所需的資訊,例如攻擊事件的主機、MAC位址、開啟的服務、通訊協定、有哪些使用者登入、登入的時間及存在的漏洞(弱點)。當偵測到攻擊事件時,Sourcefire同時會將封包側錄下來,方便管理者檢視,大部份的IPS設備則未開啟此功能,因為會嚴重影響到系統效能。
另外,每個事件都有對應的文件,裡面詳細描述所使用的偵測規則、影響的系統、修補方式,及相關的參考文件。更特別的是,Sourcefire IPS還能監控是否有違反公司安全政策的事件,例如員工違規安裝不合法應用程式,或是私帶設備連線至內部設備,違反公司的安全政策,都會立即通報管理人員。
Sourcefire新世代入侵防禦系統是目前唯一符合Gartner所定義的NGIPS設備,其獨家的網路感知、自動調校及關連式管理主控台,能夠協助管理人員更快速、輕鬆的調校IPS,找出問題點。
|
