【TechTarget中国原创】那么应该如何选择?
如果产品只有IPS和IDS,那么“我应该买哪个”这种问题的答案就很简单了:如果你想要可见性,就买IDS。如果想要控制就买IPS。但是IPS和IDS厂商不会让它这么简单,因为他们一直在开发和发布混合产品,这些产品把IDS的可见性加在了IPS的控制之上。
对于大部分企业来说,特别是还没有IPS或者IDS的企业,正确的答案是“购买IPS”。可见性工具只会在你有时间查看它告诉你的内容时才能带来价值。在预算紧张以及员工压力过大的情况下,可以从IDS中获得价值的高级安全工程师非常受欢迎。购买没人会看的产品不会给你带来任何好处。如果没有定期采用训练的方法使用IDS的可见性,可以看到的唯一真正效果是电费的增加。
这并不是说IPS是“设置就可以忘掉”的设备。为了从IPS中获得价值,你必须做出调整,使他符合你的网络和应用以及系统等。如果不做,就可能会产生大量的误报,将打断合法流量,或者可能会漏掉很多攻击,这样IPS就不会产生很大的价值了。从来不产生误报的IPS可能没有作好保护网络的工作。
但是,不需要投入大量的精力管理调整,并分析它对你的网络的状况的报告就可以从IPS上获得价值。这是因为IPS就在那里,提供附加的防御、并帮助保护你预防常见的错误。因为大部的安全问题都是人为错误导致的,而不是目标攻击,IPS是把深度防御策略带入网络安全的出色方法。
大部分的IPS厂商,由于IDS的遗留问题,他们的产品实际都包含了IPS和IDS的功能。他们都有强大的恶意软件和攻击识别功能,用于识别并阻止攻击,但是他们也有一些附加功能和工具可以提高网络的可见性。
在你考虑购买IPS、IDS或者两个都要时,记住关键是你的首要需求。如果你需要更多的控制,最重要的部分是IPS的检测能力。IPS需要有能力快速检测并阻止攻击,并且要以很高的速率而不降低网络性能、吞吐量和反应时间。
如果你需要可见性、网络取证和分析功能,最重要的是IDS的管理控制台。你必须要有能力以快速自然的方式驾驭IDS提供的信息,获得网络和安全的可见性。而检测功能也很重要,但是不如管理系统那么重要。没有从IDS上提取信息的有效方式——这是你安装的管理系统上经过培训的——你就不会从IDS上去的很大的价值。