新一代IPS必須具備傳統IPS防禦能力、可辨別控管應用程式、可提供內容感知警告與控管等條件,符合這些條件,新世代IPS才可能抵禦來自企業內外部的網路攻擊。代理Sourcefire的逸盈科技表示,Sourcefire IPS功能特色符合新世代IPS定義,以縱深防禦的概念提供企業從外到內的全面防護能力。
逸盈科技產品行銷處副總經理王美芬表示,Sourcefire採用敏捷式引擎Snort,其開放架構不僅能夠收集到各個專家社群的資訊安全討論資料與特徵碼,也能讓企業用戶自行撰寫功能規則,滿足客製化需求,「市場上大多數IPS設備僅能讓企業用戶預設功能開啟或關閉,無法自己撰寫相關規則與功能。」
|
▲逸盈科技產品行銷處副總經理王美芬表示,Sourcefire IPS功能特色符合新世代IPS定義,以縱深防禦的概念提供企業從外到內的全面防護能力。 |
逸盈科技產品行銷處產品經理陳世煌進一步解釋,傳統IPS僅能從網路閘道端分析阻擋已知攻擊行為,然而許多資安威脅為未知攻擊,且來自內部使用者的攻擊也不在少數,尤其當行動裝置越來越普及,由內部終端裝置所發出的網路攻擊也將會越來越頻繁,IPS不僅要能夠防禦外來的攻擊,諸如此類的內部攻擊也是IPS必須防禦的環節。
有鑑於此,Sourcefire IPS具備學習網路環境特性,其結合網路流量判斷與分析,提供關聯性分析能力,確認該網路行為是否具安全風險,「Sourcefire能夠收集更多內部網路使用情況來提升IPS判斷準確度,也能夠依照企業所偵測出來的APT攻擊來客製化IPS功能規則。」另外,Sourcefire提供建立正常內部網路行為標準來判斷異常行為,何種網路存取行為與頻率次數為異常,企業可先行定義,也能與內部終端裝置使用資訊整合,防禦內部發出的攻擊行為。
陳世煌表示,Sourcefire IPS所具備的功能與特性符合Gartner日前所定義的新世代IPS條件,他指出,目前大多數IPS尚未能符合如內部環境偵測、應用程式控管以及內容警知能力等條件,即有號稱符合上述條件的IPS設備往往必須與其他網路安全設備整合才能提供相對應的機制,而Sourcefire設備本身即可提供完整功能;另外像是側錄網路攻擊事件封包以提供完整事件可視性的功能,其他IPS設備為了不影響偵測與阻擋效能,大多預設為關閉,Sourcefire設備效能足夠因應這些需求,因此預設收集攻擊事件封包的功能為開啟模式,顯現Sourcefire處理效能也具備競爭優勢。