從去年工業電腦領域所遭遇的針對性攻擊到今年的APT攻擊,企業所面對的資訊安全威脅正快速變化,因此無論企業規模大小,都有採用IPS(入侵防禦偵測系統)防禦攻擊的需求。
然而,台灣思科資料中心與無邊界網路事業部業務開發經理郭旭傑表示,早期IPS以特徵碼為主要判別依據,難以有效抵擋新型態的資安威脅與攻擊,為了能夠阻擋未知攻擊,採以行為模式分析,又造成誤判率較高的風險;再加上,傳統IPS往往條列其所偵測到的大量事件,管理人員必須逐一判斷是否確實是有問題的存取連線,或其為可放行的誤判事件,技術門檻較高。種種原因都造成IPS成為較具規模資料中心才有機會採用的網路安全設備。
|
▲台灣思科資料中心與無邊界網路事業部業務開發經理郭旭傑表示,能監控全球網路位址、並且提供企業最簡易且有效的控管方式,才是讓IPS發揮防禦效果的根本之道。 |
為此,思科採以SIO(Security Intelligence Operations)雲端服務為IPS核心機制,郭旭傑表示:「SIO可追蹤全球35%以上網路流量,透過追蹤與分析全球各地IP位址與URL連結,建立隨時更新的動態資料庫,提供包括IPS在內的所有思科設備使用,相較於比對特徵碼或行為模式判斷方式,更簡單也更有效率。」
郭旭傑說,SIO評比判斷IP位址與URL連結之後,提供IPS相對應的信譽評等,只要判斷來源即可確認是否阻擋其存取連線,「即使管理人員無法判斷特徵碼或行為模式,也能夠很輕易地確認其存取來源是否可放行。」郭旭傑強調,選擇IPS最重要的條件在於有效性,IPS能否協助企業有效防禦攻擊,端看該設備是否易於判斷與控管。
另外,郭旭傑表示,思科提供多種形式解決方案讓企業可依照網路環境與需求來選擇合適的IPS機制,除了獨立設備之外,也可以硬體卡板的方式加入思科網路路由器或交換器上,讓網路設備擁有IPS功能;此外,思科防火牆也內建IPS功能,整合多功能的防火牆設備可協助企業統一控管網路安全。
郭旭傑最後表示,對於IPS而言,抵禦更多網路攻擊為基本能力,而控管更多應用程式並提供更精細的控管功能也是時勢所趨、企業所需,然而,更重要的還是在於是否能監控全球網路IP、並且提供企業最簡易且有效的控管方式,才是讓IPS發揮防禦效果的根本之道。