美(měi)國《網絡世界》網站(zhàn)對(duì)入侵防禦系統(IPS)是采用(yòng)最佳的産品還是集成的解決方案展這(zhè)個老(lǎo)問題開(kāi)了(le)争論。持最佳産品觀點的人認爲，安全是一個需要盡可能(néng)的最佳點的地方。但(dàn)是，集成的解決方案提供商認爲，日益發展的威脅需要全面的觀點。這(zhè)個觀點要考慮更多的因素才能(néng)實現(xiàn)。下(xià)面是正反兩方的觀點。讀者可以判斷誰的觀點正确。

　　觀點1.需要最佳産品

　　Sourcefire創始人和(hé)首席技術官馬丁·勒施(Martin Roesch)撰文(wén)指出，10多年以來(lái)，我們一直聽說有關“X安全技術”如何消失在“Y設備”中的事(shì)情，因爲購買者喜歡融合。但(dàn)是，盡管有預言者的擔保，有一個事(shì)實是不變的 -- 對(duì)于最佳的入侵防禦系統仍有大(dà)量的和(hé)日益增長的需求。

　　勒施說，我還告訴你(nǐ)們一個秘密：你(nǐ)們可以在一個集成的解決方案中有最佳的入侵防禦系統。然而，首先，讓我們談談爲什(shén)麽最佳的入侵防禦系統比僅爲一個融合的解決方案的一部分開(kāi)發的入侵防禦系統更好(hǎo)。

　　爲什(shén)麽?因爲最佳解決方案可提供高(gāo)可靠性産品。這(zhè)包括：

　　保護：能(néng)夠以高(gāo)度的準确性檢測到(dào)所有的攻擊，同時(shí)讓攻擊很(hěn)難避開(kāi)檢測。

　　性能(néng)：認真地設計(jì)設備以便以最大(dà)的性能(néng)提供最大(dà)的能(néng)力。

　　靈活性：設備把重點放(fàng)在做好(hǎo)幾件事(shì)上(shàng)并且要非常靈活。一個很(hěn)好(hǎo)的例子是我們Sourcefire公司的下(xià)一代入侵防禦系統。可以肯定地說，這(zhè)是同類産品中最好(hǎo)的可配置的解決方案。

　　·研究：一個專門(mén)的研究團隊提供持續不斷的更新(入侵探測系統/入侵防禦系統、殺毒軟件、安全漏洞管理(lǐ)等)支持這(zhè)個系統。這(zhè)個團隊負責開(kāi)發内容和(hé)實施最初的研究以便保持高(gāo)級的能(néng)力。

　　當你(nǐ)查看(kàn)Sourcefire提供的解決方案的時(shí)候，你(nǐ)能(néng)夠看(kàn)到(dào)所有這(zhè)些(xiē)起作(zuò)用(yòng)的概念。在最新一輪NSS測試中，可以看(kàn)到(dào)Sourcefire的入侵防禦系統解決方案提供最佳的檢測能(néng)力、防躲避能(néng)力、安全漏洞覆蓋範圍以及任何入侵防禦系統的性能(néng)。不僅如此，我們繼續研究新的檢測方法并且利用(yòng)一切機會(huì)擴展基礎的Snort(嗅探)引擎功能(néng)以保持我們在這(zhè)個行業的領先地位。

　　集成的解決方案有它們工(gōng)作(zuò)所依據的一套不同的參數。集成的系統采用(yòng)類似入侵防禦系統的功能(néng)，其目标一般不是提供最佳的入侵防禦系統，而是提供一個“足夠好(hǎo)”的功能(néng)以及其它一些(xiē)核心功能(néng)并且以較低(dī)的成本提供許多功能(néng)。這(zhè)個理(lǐ)由是，如果安全能(néng)夠讓人們在“一個屋檐下(xià)”輕松地獲得和(hé)管理(lǐ)，我們将看(kàn)到(dào)更多地應用(yòng)擴展的功能(néng)，從(cóng)而實現(xiàn)更好(hǎo)的安全。

　　這(zhè)在邏輯上(shàng)是有意義的。經驗表明(míng)，你(nǐ)可以集成商品功能(néng)并且不犧牲太多的功能(néng)。遺憾的是，當随意通過糟糕的連接技術進行集成或者如果要求一個設備集成太多的功能(néng)的話(huà)，這(zhè)個模式就垮掉了(le)。

　　一般來(lái)說，一個設備的功能(néng)越多，它就需要更大(dà)的計(jì)算(suàn)能(néng)力。當設備不可避免地超過負荷并且影響網絡性能(néng)的時(shí)候，要解決的第一件事(shì)情就是這(zhè)個解決方案提供的保護質量。用(yòng)戶很(hěn)快(kuài)失去他(tā)們購買這(zhè)個解決方案的最初的理(lǐ)由。

　　統一威脅管理(lǐ)(UTM)工(gōng)具在這(zhè)方面是最糟糕的。安全領域太頻繁地從(cóng)“保護我們避開(kāi)我們面臨的危險”的模式轉向“保護我們避開(kāi)互聯網上(shàng)的10大(dà)威脅和(hé)不影響任何事(shì)情”的模式。

　　一些(xiē)廠(chǎng)商試圖通過制造客戶化的硬件和(hé)芯片來(lái)解決這(zhè)個問題。他(tā)們要以勉強接受的性能(néng)增加大(dà)量的檢測功能(néng)。但(dàn)是，這(zhè)樣做通常要付出保護質量和(hé)靈活性下(xià)降的代價。

　　綜上(shàng)所述，最佳的技術可以是一個集成的解決方案的一部分并且能(néng)夠發揮很(hěn)好(hǎo)的功能(néng)，但(dàn)是，它要使用(yòng)與上(shàng)述完全不同的觀點來(lái)建造。Sourcefire建造下(xià)一代防火牆的方法是以有效的和(hé)強有力的方法把經過證明(míng)的最佳技術集中在一起，同時(shí)不犧牲檢測質量、性能(néng)或者靈活性。

　　我們認爲，這(zhè)種不犧牲産品質量的解決這(zhè)個問題的方法是建造安全平台的一個新的模式。這(zhè)個平台能(néng)夠運行單獨的最佳技術，或者作(zuò)爲一個集成的解決方案針對(duì)目前的威脅以後可用(yòng)的最佳保護。

　觀點2：集成是最好(hǎo)的

　　Palo Alto Networks高(gāo)級安全分析師韋德·威廉遜(Wade Williamson)撰文(wén)指出，對(duì)于入侵防禦系統采取集成的方法還是最佳技術的方法的争論是一個虛假的選擇。目前，對(duì)于入侵防禦系統采取的最佳的方法是集成的方法。威脅環境和(hé)安全行業本身都支持這(zhè)個觀點。

　　10多年來(lái)，安全行業一直試圖使用(yòng)一種新的專用(yòng)設備解決每一個新的安全挑戰。這(zhè)個方法在操作(zuò)上(shàng)是不可行的并且最終是無效的。單獨的系統造成了(le)信息豎井，導緻設備在每一個網段上(shàng)蔓延，并産生管理(lǐ)和(hé)運營開(kāi)銷。

　　同樣重要的是，随着攻擊技術日益高(gāo)級，單獨的解決方案缺少檢測和(hé)修複複雜(zá)的現(xiàn)代攻擊所需要的重要的背景信息。

　　現(xiàn)代的IT威脅的長期發展已經超出了(le)單獨的入侵防禦系統能(néng)夠解決的攻擊類型。現(xiàn)在的攻擊者并不把自(zì)己限制在僅僅利用(yòng)一個安全漏洞方面。相反，他(tā)們利用(yòng)許多安全漏洞、惡意軟件、遠程接入攻擊、被感染的URL以及已知(zhī)的或者客戶化的威脅。利用(yòng)各種應用(yòng)程序能(néng)夠進一步d利用(yòng)上(shàng)述威脅。這(zhè)些(xiē)應用(yòng)程序能(néng)夠代理(lǐ)、秘密傳送和(hé)加密威脅以避開(kāi)傳統的安全措施

　　要阻止這(zhè)些(xiē)類型的威脅，我們必須保證通訊本身的可見性，控制所有的各種威脅規定并且完全在相關的環境中做這(zhè)個事(shì)情。單獨的入侵防禦系統不能(néng)做這(zhè)個事(shì)情。這(zhè)是所有的堅定的入侵防禦系統廠(chǎng)商或者被大(dà)型網絡安全廠(chǎng)商收購或者開(kāi)發自(zì)己的下(xià)一代防火牆的主要原因。

　　威廉遜說，我可以肯定，上(shàng)述說法會(huì)引起一些(xiē)不滿。因此，讓我提供一些(xiē)信息來(lái)支持這(zhè)個觀點。首席，目前對(duì)網絡威脅的任何讨論都應該從(cóng)威脅如果避開(kāi)安全措施開(kāi)始。一個入侵防禦系統将漏掉它看(kàn)不到(dào)的或者找錯地方的威脅。因此，在通訊還沒有達到(dào)入侵防禦系統之前，這(zhè)場戰鬥已經失敗了(le)。集成的解決方案正是在這(zhè)個地方提供單獨的入侵防禦系統缺少的重要的環境信息和(hé)控制能(néng)力。

　　例如，考慮如何定期使用(yòng)應用(yòng)程序隐藏威脅。他(tā)們能(néng)夠加密通訊、跳點端口或者在其它應用(yòng)程序中建立隧道(dào)以便出現(xiàn)在人們意想不到(dào)的地方。考慮到(dào)入侵防禦系統特征一般是根據端口應用(yòng)的(例如在端口Y至端口Z使用(yòng)X特征)，這(zhè)是很(hěn)重要的。如果這(zhè)個威脅出現(xiàn)在預料之外(wài)的端口，那麽，這(zhè)個特征就不會(huì)執行。

　　除了(le)躲避應用(yòng)程序之外(wài)，代理(lǐ)程序、遠程桌面工(gōng)具、壓縮的通訊以及UltraSurf和(hé)Hamachi等專用(yòng)饒過工(gōng)具都能(néng)幫助攻擊者避開(kāi)檢測。相比之下(xià)，下(xià)一代防火牆能(néng)檢測所有的通訊，無論是什(shén)麽端口，因此，避開(kāi)端口是無效的。而且，它能(néng)不斷地解碼協議(yì)和(hé)應用(yòng)程序，因此，通訊不能(néng)隐藏其中并且控制所有的應用(yòng)程序類型。這(zhè)樣，想饒過檢測的通訊就不允許通過網絡。

　　對(duì)于專用(yòng)的入侵防禦系統來(lái)說，問題還不止是應用(yòng)程序。一個現(xiàn)代的網絡威脅将融合安全漏洞、各種類型的惡意軟件以及遠程網站(zhàn)和(hé)服務器。所有這(zhè)些(xiē)組件一起作(zuò)爲這(zhè)個攻擊的一個組成部分，每一個部分對(duì)于安全行業來(lái)說可能(néng)是已知(zhī)的或者未知(zhī)的。單獨的入侵防禦系統僅知(zhī)道(dào)其中的部分組件(已知(zhī)的安全漏洞)，而漏掉其它的組件。

　　事(shì)實上(shàng)，對(duì)于不考慮現(xiàn)代惡意軟件的複雜(zá)性的現(xiàn)代“入侵防禦”措施很(hěn)難想象一種合理(lǐ)的方法。現(xiàn)代惡意軟件通常感染代理(lǐ)程序和(hé)正在運行的控制機制。一個入侵防禦系統可以在這(zhè)裏或者那裏檢測到(dào)奇特的病毒，但(dàn)是，不能(néng)檢測出對(duì)網絡構成威脅的數百萬惡意軟件樣本。一個入侵防禦系統也(yě)許能(néng)檢測少數已知(zhī)的惡意URL，但(dàn)是，缺少數百萬網站(zhàn)的每日更新以便跟蹤已經被感染或者正在發布威脅的網站(zhàn)。在現(xiàn)代威脅防禦中，關聯的環境是王。單一功能(néng)的解決方案不起作(zuò)用(yòng)。

　　而且，入侵防禦系統産品僅限于已知(zhī)的安全漏洞。雖然所有的現(xiàn)代入侵防禦系統解決方案都使用(yòng)安全漏洞特征，但(dàn)是，有些(xiē)特征仍是以已知(zhī)的東西爲基礎的。任何真正的未知(zhī)的特征都會(huì)漏掉。

　　惡意的指揮與控制通訊定期在網絡上(shàng)顯示爲未知(zhī)的通訊。未知(zhī)的或者沒有分類的URL可能(néng)是一個攻擊的迹象，因爲攻擊者将迅速建立和(hé)撤銷URL使他(tā)們很(hěn)難被跟蹤。IT需要檢測未知(zhī)文(wén)件中惡意行爲的能(néng)力。還有許多超出入侵防禦系統能(néng)力的事(shì)情。但(dàn)是，這(zhè)些(xiē)事(shì)情對(duì)于阻止入侵者都是非常重要的。

　　因此，有關單獨的和(hé)集成的入侵防禦系統的争論基本上(shàng)解決了(le)(至少暫時(shí)是如此)。随着壞人從(cóng)單個攻擊的安全漏掉向多方位的和(hé)多向量的威脅發展，如果我們人爲地把我們的網絡安全智能(néng)和(hé)強制執行措施分割爲專門(mén)的豎井，我們就會(huì)讓這(zhè)些(xiē)壞人占優勢。