謝至恩 |
|
Tipping Point |
Infonetics 2008 IPS 用戶調查報告針對 Tipping Point 、 Cisco 、 IBM/ISS 、 McAfee 、 Sourcefire 這 5 家供應商共 169 家企業用戶,針對採購、佈署、使用等多方面項目進行調查。在調查報告中,Tipping Point 在許多項目獲得相當出色的成績,其產品線管理總監 James Collinge 來臺發表接受並與編輯部談到 Tipping Point 的動態與未來規劃。
本文目錄
同時兼顧 In-band 與 Out-of-band 安全
「身為入侵防禦系統 (IPS),與入侵偵測系統 (IDS) 最大的不同,即在於我們真的能夠即時阻斷惡意流量保護企業網路安全。」James Collinge 認為要發揮 IPS 的全部功能,第一步便是要將 IPS 安裝為「In-band」模式。
所謂的 In-band IPS,意指 IPS 設備安裝於企業網路的主要幹道上(如防火牆與閘道器之間,或是閘道器與交換器之間),所有流量進出均需通過 In-band IPS,也才有能力於發現惡意行為的第一時間便能夠阻斷惡意流量封包。然而正因為 In-band IPS 身處閘道端位置,因此其效能與誤判率將嚴重影響企業網路效能,因此有不少企業用戶仍然是以「Out-of-band」模式佈署 IPS,僅能夠被動發現惡意攻擊並通知管理者進行處理。
James Collinge 表示:「Infonetics 2008 IPS 用戶調查報告顯示 Tipping Point 的用戶有 91.4% 是以 In-band 模式安裝 IPS,其比例高出競爭產品達 20-35%,表示絕大多數 Tipping Point 的用戶對於 Tipping Point IPS 設備的效能與安全過濾技術相當信賴,也能夠符合用戶們對 IPS 效能與零誤判率的要求。」
練好安全技術基本功,再來呢?
該份報告中指出,Tipping Point 每月能夠阻擋 23.5 萬餘次的攻擊行為,安全過濾器的數量更高達 536 組,將近是第 2 名的 2 倍,顯然 Tipping Point 在安全技術基本功方面如漏洞資料、判別演算法等已經做好準備,但客戶的要求總是更多,Tipping Point 目前正專注於那些安全技術?
「自從 Tipping Point 發展 NAC 技術以來,發現網路安全的下一步在於安全政策管理 (Security Policy Management),畢竟企業網路安全的強度決定於最弱的一環,若企業所制定的安全政策無法有效實行於每個企業角落,無疑是為入侵者大開方便之門。」James Collinge 談到管理性永遠是企業首要注重的課題,因此目前 Tipping Point 將針對政策管理研發各種先進的技術與工具,讓 Tipping Point 的工具與安全政策能夠實行在所有的終端設備上。舉例來說,Tipping Point 所推出的 ThreatLinQ 工具,能夠即時獲得目前最新的安全威脅現況與相對應的安全過濾器列表,僅需要簡單的勾選動作,便能夠將最新的安全過濾器實行於企業用戶網路中所有的 Tipping Point IPS 設備中,達到最快的防護效果。
業界標準訂定
然而,網路安全廠商僅能夠扮演被動防禦的角色,而無法主動制定安全標準或底層技術防範可能的攻擊類別嗎?
James Collinge 提到,目前 Tipping Point 並沒有主動推行安全業界的共通標準,而是提供免費 API,讓第三方工具能夠取用 Tipping Point 安全裝置進行工作。目前臺灣客戶中,大多透過該 API 以第三方報表分析工具直接取用 Tipping Point IPS 設備中的記錄資料,更加深入的進行分析與採礦,有助於發現各種網路安全攻擊行為的準備動作,預先防範隨後大規模的攻擊動作。
「安全協定的制定與實行漫長無比,」Tipping Point 安全研究員 Rob King 在 DVLabs 部落格中指出:「網路核心協定已經開始準備改變,可惜速度還不夠快,例如 IPv6,真正普遍使用的時候仍在未定之天,另一個明顯的例子則是 DNSSec,用來保護 DNS 安全的擴充協定,自從 1997 年發表以來,經過 11 個年頭,全世界真正佈署 DNSSec 的站點屈指可數,別忘了旁邊還有個電子郵件認證簽章協定 (SMTP-AUTH) 同樣欲振乏力,所以我們只好繼續努力保護老舊的網路協定。」
未來的 2 大挑戰
既然網路底層架構短時間內不會有劇烈的變革,Tipping Point 的未來又有那些挑戰?
「很明顯的,首先是客戶期望 Tipping Point 能夠在設備中繼續整合各種不同的安全功能,但我們並無意變成 UTM 廠商,而是以原有先進的 IPS 技術為基礎,發展出各種客戶所需的安全功能,」James Collinge 認為除了持續整合安全功能之外,自動化將是 Tipping Point 接下來的重要目標,「由於網路攻擊又兇又猛,若依靠人工反應往往緩不濟急,唯一的解決之道在於安全工具自動化。例如未來 ThreatLinQ 技術將會自動匯入安全過濾於用戶端的 IPS 中並自動開啟,快速阻斷零時差攻擊流量,待惡意流量降低後再關閉該安全過濾器,避免開啟過多過濾器影響效能。」
正因為 Tipping Point 高度精確的演算法與自動化工具,因此有某些歐洲安全服務供應商採用 Tipping Point 的產品與方案為客戶提供各種安全服務,提早將網路安全帶入網雲運算的領域。
(本文同步刊載於網路資訊雜誌 2008 年 11 月號 204 期)