入侵防禦偵測系統(Intrusion Prevention System,IPS)發展至今已有多年歷史,過去以分析網路流量封包比對特徵碼的方式偵測與阻擋網路攻擊,鞏固企業網路安全。
然而隨著企業網路環境、IT架構、使用者行為模式、終端裝置等等不斷改變,時至今日,企業網路環境複雜程度不可同日而語,而網路應用模式也隨著商業流程、虛擬化應用、行動應用以及雲端運算等趨勢呈多樣發展;再加上資訊安全威脅攻擊日新月異,從過去大量已知攻擊到今天針對性攻擊、低調潛伏的進階持續攻擊(APT)等新型態資安威脅,單只憑靠特徵碼防禦已知網路攻擊,已無法防護企業網路安全,IPS正面臨轉型時刻。
然而,新的IPS到底應該具備哪些條件?市場調查機構Gartner在去年(2011)10月發表一份報告「Defining Next-Generation Network Intrusion Prevention」,指出為了阻擋可迴避傳統IPS防禦機制的針對性攻擊與先進持續性威脅等新型態攻擊,新一代IPS必須升級與強化功能,才能保護企業網路安全,避免遭受攻擊。Gartner所定義的新一代IPS,除了必須具備傳統IPS以特徵碼的方式防禦網路攻擊之外,還要針對網路應用層的應用程式提供辨別與控管能力,另外也應該要能夠分析封包訊息內容,進一步執行阻擋或放行的動作。從目前各家IPS業者所提出的解決方案來看,因應企業所提出的網路安全防禦需求,新的IPS設備確實已開始朝向Gartner所提出的功能特性發展。
應用程式控管與內容感知防禦
過去IPS設備雖然具備應用層可視性,然而卻未能判別後端主機上所執行的應用程式,因此往往造成許多log事件為無效事件(例如符合特徵碼的攻擊但其實後端並無該應用程式的log事件)。逸盈科技產品行銷處副總經理王美芬表示:「新一代IPS要能夠提供應用程式辨識與控管能力。尤其現今許多網路攻擊目標為應用程式,保護後端主機上的應用程式免於遭受攻擊,比起傳統無差別防禦的方式來得更有效率。」
為了能夠有效防堵應用程式與網路服務的攻擊行為,台灣思科資料中心與無邊界網路事業部業務開發經理郭旭傑表示,新一代IPS要能夠具備更精細的應用程式控制能力、可判斷更多應用程式,「如今許多網路攻擊都是以應用程式與網路服務為主要攻擊目標,不需要大量攻擊便能夠影響既有應用程式與網路服務運作,IPS必須能夠辨別應用程式與網路服務,進而控管與阻擋其網路攻擊。」
Juniper先進科技部資深技術經理林佶駿表示,應用程式層級DDoS是新一代IPS所應具備的功能,「DDoS原為IPS防禦範圍之一,但除了過濾已知攻擊之外,針對網路應用與DNS服務的攻擊也是新一代IPS必須設法防禦的資安威脅,也因此,IPS設計必須要能夠將其所偵測到的異常連線行為進行拆解,要能夠分析封包內容並且拆解通訊協定,確認該連線行為是透過特殊程式執行或是一般使用者查詢存取。」
Top Layer亞洲區技術顧問顏嘉亨也認為,現有網路安全設備多偏重控制面而非防護需求,而傳統IPS又以已知的、大量的攻擊流量為主要防禦對象,然而,現今許多攻擊以正常流量、偽裝過的、迴避式的網路流量為主,在沒有特徵碼可比對的情況下,傳統IPS難以預防。因此新的IPS必須具備應用程式DDoS防禦機制。
McAfee技術經理沈志明表示,新世代IPS能夠取得弱點資訊、應用程式以及內容等控管能力,提供應用程式辨別與控管、以及內容可見度延伸,「所謂的應用程式控管,指的是掌握所有網路流量情況,而非像傳統IPS僅能在網路遭受攻擊威脅時才發出警示通知。
掌握所有應用程式使用網路頻寬的情況,當網路攻擊威脅發生時,才能夠確實掌握網路威脅所對應的攻擊來源、對象、應用程式等等。」此外,透過更精確的資訊情報執行更為精細的事件分析,也可有效提高防禦能力,並簡化IPS控管方式,「例如以全球資安威脅情報判別來源信譽,以確認是否放行該存取使用行為,企業IT管理人員便不需要像過去那樣自行檢視分析龐大的封包內容。」
逸盈科技產品行銷處產品經理陳世煌表示,關聯式分析與警告通知功能,可協助企業判斷看似正常的網路攻擊行為,「例如單一網路行為超過多少次數即視為具安全風險的攻擊行為,比對內部主機與外部網路行為來源的IP來判斷。」
另外,內容警知能力可協助企業IT管理人員透過檢查特殊檔案(如PDF、Word等等)內容,檢查與分類進出網路的檔案內容,防止企業內部資料或電腦設備遭受隱藏式的攻擊,進而引發由內而外的攻擊行為。
硬體處理效能將成關鍵條件
除了應用程式控管與內容感知等新功能需求,因應新功能所需要的硬體處理效能,也是新一代IPS設計關鍵。HP企業業務事業群企業伺服器暨儲存網路事業處網路設備事業部安全技術顧問石謂龍表示,因應越來越複雜的企業網路環境,IPS要同時兼具全球監控服務能力以及高運算效能硬體設計。
他表示,全球監控服務可提供IP位址與URL連結是否為惡意攻擊來源,以信譽評等的方式提供IPS作為判斷依據,其機制能夠減少本地端IPS設備的分析運作需求,然而IPS設備能否即時因應與比對遠端動態資料庫所提供的資訊,硬體處理效能便成為一大重點。
Top Layer亞洲區技術顧問顏嘉亨也表示,為了能夠提供新一代IPS功能與處理效能,多核心CPU架構將會成為網路安全設備的主流趨勢,「目前IPS常見的ASIC晶片架構逐漸會被淘汰,雖然ASIC能夠提供快速比對特徵碼的處理效能,然而缺乏新一代IPS功能所須的分析能力與擴充彈性,多核心CPU較能提供更好的處理效能。」
綜觀來看,新一代IPS必須具備傳統IPS防禦能力(也就是特徵碼分析與防止DDoS攻擊等功能),並且也要能夠結合檔案信譽分析以協助內容控管,同時可偵測判斷通訊協定與應用程式分析,掌握網路應用程式即時狀況與可能的威脅,甚至還必須要能夠檢測虛擬化環境,以因應企業混合型的IT架構。
面對日新月異的網路威脅與攻擊,IPS既有的功能機制已無法招架,然而越來越多的功能需求也讓IPS效能受到極大的挑戰,如何兼顧系統效能與全面性的資訊安全防禦能力,將成為IPS設備供應商共同的課題。