根據Gartner日前公佈報告指出,傳統IPS(Intrusion Prevention System)已無法有效偵測與防止利用先進攻擊手法、具針對性目標特性的新型態資安威脅,下一代IPS(NGIR)必須強化升級,方能替企業阻擋新的資安攻擊與危害。Gartner定義,新一代IPS除了要具備傳統IPS的所有功能之外,還必須擁有可辨識應用程式與內容等能力。
同樣的定義與需求,在防火牆市場也有跡可循。Gartner在2009年也定義出下一代防火牆(NGFW)所需具備的條件與能力,認為新一代防火牆除了須具備傳統防火牆所有功能之外,還需擁有檢測封包、應用程式辨識能力等特性。
 |
| ▲逸盈科技產品行銷處副總經理王美芬 |
從NGFW與NGIPS來看,新世代網路安全設備的共通點,皆在於必須能夠提供可辨識應用程式與內容的能力,逸盈科技產品行銷處副總經理王美芬表示,原因即在於網路環境日益複雜,網路資安威脅瞬息萬變,「資安網路環境細節可視度」便成為防禦的關鍵。「現在已經無法像過去以IP位址、連接埠(port)為識別基準,就能找出網路資安問題。如今Web 2.0、網路服務應用類型繁多,像是即時通訊、P2P或者是社群網站等,都是以port 80為通訊埠,如果缺乏識別應用程式以及內容的能力,就無法確認問題發生環節與原因,難以排除障礙,也無法有效預防資安威脅。」
王美芬進一步解釋,駭客往往針對同一種漏洞,以不同的攻擊手法規避IPS偵測與防禦,讓傳統IPS難以過濾防範,而新一代IPS辨識應用程式與內容的能力,讓IPS能夠偵測到異常的網路行為與流量,進而識別控管與防堵。
從目前態勢看來,防火牆設備與IPS在功能與效能方面正在朝彼此的方向逼近,部分新世代防火牆設備也標榜具備IPS能力,而新一代IPS在功能方面也與防火牆有所重疊。王美芬表示,IPS往往被定位為較適合中大型企業採用的高階資安設備,而對於中大型企業而言,兩層以上資安防禦措施是基本必要條件,因此NGFW與NGIPS兩者應該是相輔相成的角色定位,「例如NGFW可用來控管由內而外的資安需求(如控管使用者上網行為),而NGIPS則可防禦由外對內的資安威脅。」不過,不可諱言地,對企業來說,若兩者產品功能與效能發展越走越近,在成本與效率上的考量,未來是否會相互競爭與取代,仍有待觀察。