| |
可以看出,入侵防御产品的未来之路就是保护后端服务不受威胁影响而能正常开展业务。UTM类产品可以有入侵防御的模块,但由于结合了防火墙、AV等其它功能,使得其关注的目标必定是批量化的拦截,无暇专注于后端服务。入侵防御和UTM相比,可以用一个生活中的小例子来呼应:入侵防御就是个人保镖,而UTM就是小区保安,两者都是保护目标的安全,但由于受保护目标不同(保镖的目标聚焦,而保安的目标不聚焦)使得这两种类似的职业都有单独存在的必要。
到底需要入侵防御还是UTM?取决于保护的目标主体。如果用以保护整个网络,那么应当选择UTM,除了入侵防御之外,还可依据用户需求提供防病毒、VPN等网关级安全应用。如果用以保护某一台或多台服务器(群),那么就应当选择入侵防御。当然这是有前提的,那就是入侵防御产品需要对服务器防护有相应针对性的特性,比如启明星辰公司的天清入侵防御产品,就专注发掘了Web服务防护功能。
再看入侵检测产品,与入侵防御产品作为控制工具相对的,入侵检测产品给使用者提供了一个可视化的平台,通过这个平台,用户可以清楚地了解网络里到底发生了什么事情,当然,结论的产生还是需要加入大量的人工分析。比如,网络嗅探,入侵防御或者类似的控制工具,所关注的只是“禁止这一行为”,但嗅探可能来自于内部员工的正常网络检查行为,这就需要一个界面来告诉使用者,嗅探行为是谁干的、是否违规等等,而这就是入侵检测产品的作用所在。当你需要了解网络安全状况的时候,购买入侵检测产品将会是一个合适的选择。
入侵防御还是入侵检测?
即使有了基于前文的认知,但当前还有这样的言论出现:入侵检测能做的事,入侵防御都可以做,入侵防御是入侵检测的升级/换代产品。
前文提到,入侵检测所关注的是可视化,对入侵检测来说,最重要的是 “呈现”。“呈现”主要取决于两点,一是呈现的内容,二是呈现的效果。呈现的内容表现在,事件是否更新及时,数据是否抓取完全。和入侵防御不一样,入侵检测产品是旁路部署甚至多点部署的,对整个网络进行监视。呈现的效果表现在是否能方便地从产品界面上获得有效信息,以便对接下来的工作进行指导:禁止或允许某些安全规则,评价某个区域的安全建设效果等。
而入侵防御则更关注“防护”,准确而及时的防护,其关注重点并不是全局信息(而只是关键服务器群),也不关注信息分析。这导致了入侵检测和入侵防御在面对事件时的不同态度:入侵检测关注可疑事件,即使不能判断为具体的攻击行为,也要进行记录和分析备案;而入侵防御关注的都是明确的事件,是威胁就坚决予以阻断,不能认定为威胁则予以放行。而在用户交互界面层面,也有不同的态度:入侵检测关注信息展现,以图表呈现全面的信息以协助分析;入侵防御则不需要关注信息之间的关联,事件对入侵防御而言只是一个阻断报告的数据来源。
所以,在选择入侵检测产品的时候,需要关注如下因素:它是否能保障“呈现”无障碍,是否提供了一些新的特性可以方便地看到想看的信息,使用者是否可以快速利用它“呈现”的内容做出相应的决策判断。
当然,作为安全厂商,所需要做的就是,当开发入侵检测产品的时候,任何功能特性,都应当围绕“呈现”这个词来做,用户需要一个可视化平台。因为只有“呈现”,才是入侵检测的精髓,是入侵检测依然存在,不被其它产品取代的根本。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
