【TechTarget中国原创】IDS可以做什么
如果IPS是控制工具,那么IDS就是可视性工具。入侵检测系统位于网络的一边,在很多不同的节点监控网络流量,并提供对网络安全状态的可视性效果。IDS和协议分析器有很多的相似点。协议分析器是网络工程师使用的一种工具,可以深入查看网络以及上面发生的活动,特别是那些让人头疼的细节。IDS就是安全工程师的“协议分析器”。IDS深入查看网络,并从安全的角度查看网络上发生了什么。
在安全分析师的掌控下,IDS就成为了网络上的窗口。IDS提供的信息可以帮助安全和网络管理团队发现:
- 安全策略违反,例如系统或用户违反策略运行应用;
- 感染,例如病毒或木马可以部分或者全面控制内部系统,并用它们传播感染或者攻击其它系统
- 信息泄露,例如运行间谍软件和按键记录器,还有合法用户偶尔发生的信息泄露
- 配置错误,例如带有错误安全设置或者妨碍性能的网络错误配置的应用或者系统,以及规则和策略不搭配的错误配置的防火墙。
- 非授权客户端和服务器端包括手搔受到威胁的网络服务器应用,例如DHCP或者DNS服务器,以及非授权应用,例如网络扫描工具或者不安全的远程桌面。
这种增加了的网络安全状态的可见性是IDS的特征,以及IPS的控制功能和IDS的可视性功能的区别之处。
当然,IDS和IPS都有“入侵”这个词作为他们名字的开头,你可能会想为什么我没有在IDS或者IPS的功能中提到“入侵”呢。一部分是因为“入侵”这次词非常模糊,了解什么是入侵非常困难。当然谈,积极地想要攻入网络的人是入侵者。但感染病毒的电脑是“入侵”吗?执行网络探测的人是入侵者吗?那么只在研究的人呢?如果恶意表演者是网络的合法用户——例如,不安分的员工——他们的合法或者非法的行为是入侵还是别的什么呢?
不在IDS和IPS的描述中提到“入侵”的一个重要原因是他们在捕获真正的入侵者上面作的并不好。IPS可以很好地阻止已知攻击,但是这些攻击大部分都是网络探测或者自动扫描,寻找其它可以感染其他系统——几乎都不是这个词的经典意义。这种情况下最好的入侵防御系统是防火墙,首先就不让不合适的流量进入网络。
在这些可视性和控制技术中,误用了“入侵”的意思,造成了配置了IDS或者IPS的企业的员工的混淆和不正确的期待。
是的,IDS可以检测真正的入侵。对,IPS可以阻止真正的入侵。但是,这些产品可以做得不止是这些——他们可以提供更多的控制和可见性,这是他们真正的价值所在。