擂台双方均是国际国内著名的信息安全公司,力量都很强大,IPS要想取代IDS似乎并没有意想中的那么容易!
难道Gartner也有错的时候?难道IPS与IDS还能共存很长一段时间?
双方铺天盖
地的市场宣传只能使这个问题的答案更不清晰,而最倒霉的就是那些安全管理员了,他们无法确定哪一种产品最适合自己的环境。于是记者采访了持有不同观点的几个典型代表,希望通过他们的分析,让您能捕捉到真实的信息。
追根溯源,业界之所以产生IDS与IPS之争,在前几年,IDS居高不下的误报率和漏报率,使用户伤透了脑筋。试想,用户购置了价格不菲的IDS后,却没有产生多少实际价值,当真有攻击进来时,安全管理员由于淹没在海量的日志信息中,很容易忽略掉真正的攻击,这让他们首先是无法向上级交代:老板们经常发怒,“我们已经花费了巨额资金,却依然无法狙击网络攻击,这些钱算是白花了!”其次是让自己疲于奔命:每一次报警都令自己紧张,赶紧检查,却发现多数情况是白紧张。于是用户对IDS的抱怨日渐增多,以至于逐渐丧失了对IDS技术的信心。
这种现状迫使厂商进行技术革新,于是,能预防攻击的IPS技术应运而生,它所倡导的主动预防和在线安装(In-Line)的理念,正迎合了用户对IDS技术的不满和渴望新技术的心理。然而,IPS技术究竟是什么,如何定义,业界主流厂商之间却产生了较大的分歧!
一方:IPS只是名称噱头
“IPS只是名称噱头,它是在IDS的基础上发展起来的,其核心技术并没有实质突破!”安氏互联网安全系统(中国)有限公司董事长兼执行总裁郑丞凯先生说。
安氏中国公司过去一直是全球著名的IDS供应商ISS公司在中国的惟一总代理,并于 2002年推出了自己的领信IDS产品,但是,安氏中国坚持不推IPS产品。“其实从技术储备来说,我们能迅速推出所谓的IPS,但是,IPS目前所采用的技术还是模式匹配、异常检测等IDS的老技术,并没有解决IDS的漏报误报问题,反而因为在线安装增加了性能瓶颈等新问题。本着对用户负责的态度,如果推这样的IPS,还不如不推,所以我们一直没有推IPS。但我们将对它保持长期的关注。”他说。
安氏互联网安全系统(中国)有限公司董事长兼执行总裁郑丞凯:“IPS只是名称噱头,它是在IDS的基础上发展起来的,其核心技术并没有实质突破!”
“业界之所以开始炒作IPS,可能营销行为多于技术行为。”他补充,“当IDS市场大部分被某些国际品牌占据时,一些后来者就利用IDS本身的缺陷,开始大肆推广IPS,以期在市场中扩大自己的市场份额。”
与此同时,2004财年营业额将超过18亿美元的国际著名的信息安全公司赛门铁克也没有推出专门的IPS产品,该公司亚太区总监Garry Sexton说:“我并不完全相信 IDS 将被宣告退出历史舞台,IDS是一个有价值的系统,可以快速拦截恶意活动,发布更新报告并执行防火墙无法提供的其他功能。当 Code Red与 Nimda 在全球横行无阻的时候,不正是防火墙或 IDS 提供了最有效的安全吗?我要大胆地说,在这些案例中,IDS 显示了它独特的存在价值。”他不否认IDS目前还存在误报和漏报问题,但IDS在网络中的作用是不可替代的。
另一方:IPS是未来主流
持有相反意见的另一方是目前正主推IPS技术的厂商,其中包括国际著名的信息安全公司美国网络联盟(NAI)公司、NeeScreen公司等。
NAI公司中国区总经理江永清:“我认为,IPS必将彻底取代IDS。我不同意IPS技术没有突破的说法。”
“我认为,IPS必将彻底取代IDS。我不同意IPS技术没有突破的说法。”NAI 公司中国区总经理江永清先生说,“我们的IPS技术,目前已经获得了多项国际专利,除了采用异常检测外,还增添了事件关联等技术。它与IDS本质的区别在于,IDS只能检测攻击并报警,是被动防御技术;而IPS不仅检测,还能有选择地阻断攻击,是一种主动防御的技术。此外,NAI的IPS还有自学习功能,能根据以往经验不断定制新策略。”
NAI公司在2003年收购了两家IPS公司Entercept公司和 IntruVert Networks公司,前者是基于主机的入侵防护解决方案(HIPS)供应商;后者是网络入侵防护技术供应商(NIPS)。NAI公司于同年推出了 Intrushield IPS系统。据江永清介绍,这种产品自推出后,在全球的销量一路攀升,“一个季度增长了180个客户,比如,美国的一个财务公司,在全球有12个分支机构,原来用250个许可证的IDS产品,目前,用30个许可证的IPS就实现了全球网络的入侵防御,而管理人员只有3~4人,效率提高6倍以上,在这个案例中,IPS基本取代了IDS产品。”
京天刚数码科技有限公司总裁殷树民:“IPS就是防火墙与IDC结合在一起的产品,它不仅能实现检测攻击,还能有效阻断攻击,它必定是未来人们迫切需要的产品。”
另一个持同样观点的,是全球著名的防火墙厂商NetScreen公司,该公司推出的IDP产品,就是将防火墙与IDS技术结合在一起的新技术产品。
NetScreen公司的IDP采用的是ASIC平台,解决了目前因为在线安装而让人们担心的性能瓶颈问题,这也是天刚数码公司非常看好NetScreen公司的IDP产品的原因。
分析:细粒度划分IPS
以上这些专家们的说法,似乎都有道理,那么,作为系统安全管理员,我们该如何从这些不同的声音中分辨出对自己有用的信息呢?
仔细分析,这些主流厂商在IPS的定义上,似乎并不一致。
让我们回到问题的原点,看看究竟什么是IPS。
从字面理解,IPS是入侵防御系统,但从以上的分析中,我们看到,目前业界对IPS 产品的形态定义并不完全一样,归纳起来有4种:一种是将在线安装的IDS就叫做IPS,这是一种升级版的IDS;一种是认为IPS等于“防火墙+IDS+ 反病毒技术”;第三种是进行了技术革新,能实现主动防御的产品,是能彻底取代IDS的IPS产品;第四种是认为IPS和IDS是完全不同的两种产品。
事实上,第一种IPS是最被人们所诟病的产品,也是被认为“IPS是换汤不换药”说法的罪魁祸首。所以,所有专家一致认为,这种IPS是骗人的玩意,用户一定要擦亮眼睛,小心识别。
对于第二种定义,目前NetScreen公司的IDP正是这类产品。而安氏中国公司执行总裁郑丞凯先生最后趋向于认可这样的定义,“如果IDS一定要走向IPS,那么我赞同IPS的这种定义,但是,这种产品只适用于还没有安装防火墙的新客户,如果已经有了防火墙,那就等于重复购买了防火墙。”他说。而NAI的江永清不太赞同这种定义,他认为,IDS是检测,攻击进来后才改变防火墙策略,已经太迟了,攻击目的已经实现了。
赛门铁克公司中国区技术经理郭训平:“我们将实时监测,主动防御和响应功能集成到解决方案中,并将这类产品定义为入侵防护(IPS)。”
第三种定义是NAI目前倡导的,江永清认为,新的IPS技术一定具备两种新特征:实时阻断和自动学习,“这可以说是IDS技术与IPS技术的关键分水岭,简单定义这类IPS就是‘检测+实时阻断+双向流量+In Line’的主动防御产品。”他说。
支持第4种定义的是赛门铁克公司,虽然该公司坚持不推出所谓的IPS产品,但在该公司的整合安全解决方案中,多次提到了IPS方案。“IPS不是一种产品,而是多种产品的配合。”赛门铁克公司中国区技术经理郭训平说,“我们将实时监测、主动防御和响应功能集成到解决方案中,并将这类产品定义为入侵防护(IPS)。入侵防护解决方案能够很好地实现IPS产品的防御功能,是同时包含了入侵检测和入侵防御这两种技术的解决方案,同时还加入了响应与管理。赛门铁克的入侵防护解决方案就是具备很强防御与响应功能的产品,其中包括Symantec ManHunt、Symantec decoy server、Symantec Host IDS。”
因此,我们看到,IPS本身的内涵在不同的厂商、不同的产品中均存在不同的定义。作为系统安全管理员,首先不能被IPS的概念弄晕了头脑,而一定要仔细了解其中的深刻含义,然后再作出正确的判断。
但是,通过这些采访,有一点可以坚信,那就是,IDS技术在不断发展,能主动预防和阻断攻击的产品一定是未来的主流。