Сигурност

IPS: Най-добрата технология или интегрирано решение?

Network World

Вечният въпрос за това дали да изберем най-добрите продукти или да се спрем на интегрирани решения е особено значим, когато става дума за системи за предотвратяване на прониквания. Сигурността е област, в която имаме нужда от възможно най-добрия продукт за защита на дадена точка, казват производители на уникални системи. Нововъзникващите заплахи обаче изискват по-цялостен поглед, който може да се постигне като се вземат предвид повече фактори, твърдят доставчиците на интегрирани решения. Кой е прав? Решава купувачът.

Пазарът на мрежови IPS системи е съставен от самостоятелни устройства, които инспектират целия трафик, преминаващ през предния защитен вал като firewall, шлюзове за уеб защита и за защита на е-поща. „IPS устройствата реализират сглобяване на пълния поток от мрежов трафик. Те предоставят засичане чрез няколко различни метода – шаблони, засичане на аномалии в протоколите и поведението или чрез евристични методи, обяснява Gartner в своя анализ „Магически квадрант на IPS пазара за 2012 г.“. - IPS системите ползват и различни техники за блокиране на атаки. Възможностите на IPS продуктите обаче трябва да бъдат адаптирани към променящите се заплахи и в отговор на по-усъвършенстваните атаки се появи ново поколение IPS.

Магическият квадрант на Gartner се фокусира върху самостоятелни IPS продукти, но IPS функции се предоставят и от ново поколение защитни стени (NGFW), еволюция на корпоративния клас мрежови защитни стени, включващи разпознаване на приложения и контрол на политиките. IPS функции са достъпни и в UTM устройствата, ползвани от малките фирми за предпазване от всички типове заплахи, обясняват анализаторите.

Според Gartner сред лидерите при IPS решенията са HP, Sourcefire и McAfee, в съседния квадрант „Challengers” са Cisco и IBM, a нишови играчи са Enterasys Networks и NSFocus Information Technology. Като визионери Gartner определя Juniper Networks, Stonesoft, CorecoNetwork Security и израелската Radware (вж. графиката)



 Gartner „Магически квадрантна IPS пазара за 2012 г.”


Защитниците на самостоятелните продукти

Вече цяло десетилетие слушаме за това как „технологията за сигурност Х“ ще се претопи в „устройство Y“, защото купувачите обичат обединяването. Но въпреки убедеността на такива предвестници един факт остава реалност - все още има огромен глад за най-добрите „породисти“ системи за предотвратяване на прониквания (IPS), твърдят от Sourcefire.

„Ще споделим една тайна: можете да имате най-добрата технология за IPS в интегрирано решение, но за това малко по-късно, коментират от производителя. - Първо нека да поговорим за това защо най-добрите IPS превъзхождат IPS функция, разработена само за да е част от пакетното решение.“ Най-добрите технологични продукти предоставят по-прецизни продукти по отношение на:

• Защита: Възможност да бъдат открити всички атаки с висока степен на точност.

• Производителност: Устройствата са проектирани внимателно, за да предоставят максимална функционалност при максимално натоварване.

• Гъвкавост: Устройствата са фокусирани върху извършването на малко на брой задачи, но изпълнявани по великолепен начин, а и са „склонни“ да бъдат много гъвкави.

• Развой: Системи, които са подкрепени от непрекъснато актуализиране на съдържанието (IDS/IPS, антизловреден код, управление на уязвимостите и др.), предоставени от специален изследователски екип, отговарящ за разработване на съдържание и извършване на оригинални научни изследвания.

Интегрираните решения имат различен набор от параметри, с който работят. Целта на интегрираната система, която включва IPS функция, обикновено не е да предостави най-добрата IPS защита, а „достатъчни добри“ способности заедно с други основни функции и дава богата функционалност на по-ниска цена. „Логиката е, че ако сигурността е направена лесна за хората и те придобиват и управляват всичко „под един покрив“, тази разширена функционалност ще бъде внедрявана все по-масово, следователно ще постигнем по-голяма сигурност“, добавят от Sourcefire.

От компанията смятат, че в това има смисъл, а и опитът показва, че могат да бъдат интегрирани масовите функции и да не се жертват твърде много характеристики. „Този модел обаче може да се провали, ако се прилага на случаен принцип чрез лошо съчетание на технологична интеграция, или ако искаме твърде много от едно устройство“, добавят от лидера в магическия квадрант на Gartner.

Най-общо по-голямата функционалност на устройството изисква и по-голяма изчислителна мощ. Когато изделията неизбежно се претоварят и това повлияе върху работата на мрежата, първото нещо, което се гледа, е качеството на защита, а потребителите бързо забравят причината да купят именно едно решение .

„Инструментите Unified Threat Management (UTM) например често прескачат от модела „защита от всички заплахи, пред които сме изправени“ към предпазване от топ 10 на заплахите в интернет и то без да се засяга бързодействието“, обясняват от Sourcefire.

Някои производители се опитват да решат този проблем, като изграждат специализиран хардуер и чипове, за да постигнат по-мащабно засичане с приемливи резултати, но твърде често това става за сметка на качеството и гъвкавостта на защита.

Това показва, че най-добрата технология може да е част от интегрирано решение и да функционира добре, но трябва да е построена с по-различна философия от описаните по-горе. Затова новото поколение защитни стени се концентрира върху съчетаване на доказани най-добри технологии по начин, който е ефективен и мощен, без да се жертва качество на засичането на заплахи, производителност или гъвкавост, е заключението на Sourcefire.

Интеграцията е най-доброто решение

Дебатът за избора между най-добрата техническа система и интегрираното решение е фалшив, смятат от Palo Alto Networks. Днес най-добрият подход към IPS защитата е интегрираният, като това се определя както от днешната среда на заплахите, така и от самата индустрия на системи за сигурност. Тази индустрия от десетилетие се опитва да реши всяко ново предизвикателство пред сигурността с ново специализирано устройство. Този подход е оперативно непрактичен и неефективен, добавят от Palo Alto. Отделните системи създават силози от информация, водят до нахлуване на устройства във всеки мрежов сегмент и създават излишен управленски и оперативен трафик.

„Атаките стават все по-сложни и на изолираните решения им липсва най-важното – контекстът, нужен за откриване и блокиране на сложните съвременни атаки, твърдят от Palo Alto. - Съвременните заплахи за сигурността отдавна са се развили отвъд видовете атаки, с които могат да се справят самостоятелните IPS устройства“, допълват разработчиците. Нападателите днес не се ограничават просто да използват дадена уязвимост. Те си служат с редица пролуки, злонамерен софтуер, инструменти за отдалечен достъп, заразени URL адреси, и дори непознати или специализирани заплахи, като всички те се активират чрез различни приложения, включително през прокси, тунел или криптирани заплахи с цел да избегнат традиционната защита.

За да бъдат спрени тези видове заплахи, трябва да бъде осигурена прозрачност на самия трафик, да се контролират всички различни заплахи и това да се прави контекстно. Самостоятелното IPS не прави нито едно от тези неща и това е основната причина всички разработчици на специализирани IPS да бъдат придобити от по-големите производители на мрежови решения за сигурност или са се втурнали да разработват свои собствени защитни стени от ново поколение, обясняват от Palo Alto.

Именно затова модерната дискусия за кибер заплахите би трябвало да започне с разбирането на това как заплахите се крият от защитата. Дали IPS системата ще пропусне всяка заплаха, която не може да види, или ще я търси на грешно място, така битката може да бъде загубена още преди трафикът да достигне до IPS. Именно тук интегрираното решение може да предостави важния контекст и да контролира процесите. Защитените стени от ново поколение следят целия трафик независимо на кой порт се появява. Освен това те декодират постепенно протоколи и приложения, така че трафикът не може да се скрие в тях.

Днешните мрежови заплахи съчетават използване на уязвимост, различни типове зловреден код и отдалечени заразени сървъри и сайтове. Всички тези компоненти работят съвместно като част от една атака, а всяка такава частица може да е позната или не на индустрията за защитни системи. Самостоятелните IPS разбират само един от тези компоненти – атаката към разпознатите уязвимости и пропускат останалото.

Тъй като „лошите момчета“ еволюираха от единични изстрели по дадена уязвимост към мултиразмерни и мултивекторни заплахи, индустрията ще играе на техния ринг, ако продължава да сегментира изкуствено мрежовата защита и да налага специализирани силози, е заключението на Palo Alto.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X