什麼是入侵防禦系統?

已大規模自動化的 IPS 解決方案可在惡意活動入侵其他安全裝置或控制之前將其篩選掉。這減少安全團隊的手動工作量,並可讓其他安全產品的執行更有效率。

IPS 解決方案在偵測和防止弱點入侵方面也非常有效。發現弱點時,若尚未套用安全修補程式,通常會出現空窗期而讓攻擊者有了可乘之機。在此情況中可使用入侵防禦系統來快速阻止這一類的攻擊。

IPS 設備最初是在 2000 年代中期作為獨立設備而進行建立及發佈。此功能已整合到統一威脅管理 (UTM) 解決方案以及新世代防火牆中。新世代 IPS 解決方案目前已連接到雲端式運算和網路服務。

入侵防禦系統的運作方式

IPS 會以內嵌方式直接置於來源和目的地之間的網路流量中。這就是 IPS 與其前身入侵偵測系統 (IDS) 的區別。相反地,IDS 是一種被動系統,其會在掃描流量後回報偵測到的威脅。

此解決方案通常位於防火牆之後,其會分析進入網路的所有流量,並在必要時自動採取回應動作。

這些動作可以包括:

  • 向管理員發出警報 (如 IDS 所示)
  • 丟棄惡意封包
  • 阻止來自來源位址的流量
  • 重設連線
  • 設定防火牆以預防未來的攻擊

Diagram an intrusion prevention system

作為內嵌安全組件,IPS 必須能夠:

  • 更有效率地工作以避免造成網路效能降低
  • 工作速度快速,因為入侵可以近乎即時地發生
  • 準確地偵測和回應以消除威脅和誤判 (即合法封包被誤判為威脅)。

為了成功地做到這一點,可運用多種技術來發現入侵並保護網路不會遭到未經授權的存取。其中包括:

  • 基於特徵碼的偵測,這種偵測方式會根據每個入侵程式碼中唯一可識別模式 (或特徵碼) 的字典進行偵測。當發現入侵時,其特徵碼會記錄並儲存在不斷增長的特徵碼字典中。IPS 的特徵碼偵測分為兩種:
    • 面向入侵的特徵碼會觸發特定入侵嘗試的獨特模式來識別個別入侵。IPS 會在流量串流中尋找與面向入侵特徵碼相符的跡象來識別特定的入侵。
    • 面向弱點的特徵碼是更廣泛的特徵碼,可用來偵測隱藏在系統背後已遭鎖定的弱點。這些特徵碼可以保護網路不會受到未知的攻擊。此外也可以降低誤判發生的機率。
  • 基於異常的偵測會隨機採集網路流量樣本,並將其與預先計算的效能基準進行比較。當流量活動超出基準效能參數時,IPS 將會採取行動。
  • 基於政策的偵測會要求系統管理員根據企業的安全政策和網路基礎結構設定安全政策。如果有任何活動違反已定義的安全政策,系統將會觸發警示並傳送給管理員。

入侵防禦系統的類型

IPS 解決方案有多種類型,可針對不同目的進行部署。其中包括:

  • 基於網路的入侵防禦系統 (NIPS),安裝在各個戰略點以監控所有網路流量並掃描威脅。
  • 主機入侵防禦系統 (HIPS),安裝在端點上,僅查看來自該電腦的傳入/傳出流量。HIPS 通常會與 NIPS 結合,作為威脅的最後一道防線。
  • 網路行為分析 (NBA) 負責分析網路流量以偵測異常流量,並找出新的惡意軟體或零時差弱點。
  • 無線入侵防禦系統 (WIPS) 會掃描 Wi-Fi 網路是否有未經授權的存取,並且移除任何未經授權的裝置。

入侵防禦系統的優勢

入侵防禦系統具有許多安全優勢:

  • 降低業務風險並提高安全性
  • 清楚掌握攻擊動態,進而提供更好的保護
  • 提高效率以檢查所有流量是否存在威脅
  • 管理弱點和修補程式所需的資源較少

IPS 的關鍵特性

IPS 工具對於防止一些最具威脅性且先進的攻擊來說至關重要。在您選擇的 IPS 中尋找以下功能:

  • IPS 弱點防護
    應用程式弱點是入侵、感染和勒索軟體的攻擊生命週期中常見的初始步驟。雖然每年報告的弱點數量持續增加,但是攻擊者僅需要一個弱點即可獲得企業的存取權。

    應用程式中的關鍵弱點如 Apache Struts、Drupal、遠端存取、VPN、Microsoft Exchange、Microsoft SMB、作業系統、瀏覽器以及 IoT 系統,均會持續成為攻擊者針對企業的首要嘗試入侵弱點。

    入侵和 RDP 入侵是攻擊者進入企業內部並發動勒索軟體攻擊的兩種主要方式。這讓弱點防護成為不可或缺的安全環節。

  • 反惡意軟體保護
    串流式掃描引擎會偵測已知的惡意軟體及其未知變體,然後迅速以內嵌方式阻止這些軟體。IPS 與反惡意軟體保護透過單一服務即可因應多種威脅途徑。這也是一種方便的替代方案來採購及維護傳統廠商的個別 IPS產品。

  • 全面的命令與控制保護
    在初始感染以後,攻擊者便會透過隱密 C2 管道與主機進行通訊。C2 管道用於傳輸額外的惡意軟體,發出進一步的指示,然後竊取數據。

    隨著 Cobalt Strike 等工具的使用量以及加密或混淆流量的不斷增加,攻擊者將能更輕易地建立可完全自訂的命令與控制管道。使用傳統的基於特徵碼的方法無法阻止這些管道。

    因此,IPS 解決方案必須具備阻止和預防未知 C2 內嵌的功能。對於可能遭受下列攻擊的系統,IPS 解決方案還應偵測並阻止這些系統傳出的 C2 通訊:
    • 已知惡意軟體系列
    • Web 殼層
    • 遠端存取木馬程式

  • 自動化安全動作
    安全營運團隊應能快速因應、隔離並影響政策,以控制潛在的感染。其中包括更強大的安全政策和控制,例如自動多因素驗證。

  • 廣泛可視性與精細控制
    可立即判斷哪個系統正遭受攻擊,以及哪個使用者可能受到感染,對事件回應團隊幫助甚大。這比根據 IP 位址猜測要有效得多。提供 IT 與安全人員對應用程式和使用者的政策控制,大幅簡化網路安全政策的建立與管理。

  • 一致且簡化的政策管理 
    為了達到全面防護,現代化分散式網路需要在以下各方面維持一致的政策:
    • 企業周邊
    • 數據中心
    • 公用雲端和私人雲端
    • SaaS 應用程式
    • 遠端使用者。

  • 自動化威脅情報
    產生並使用高品質的威脅情報的確重要,但是必須能自動地將情報轉化為防護力。現代 IPS 必須能夠自動地利用威脅情報來跟上攻擊的速度。

用於規避威脅偵測的深度學習

為了防止複雜化和迴避性威脅不斷增加,入侵防禦系統應該部署內嵌深度學習。內嵌深度學習可大幅增強偵測能力,無需依賴特徵碼即可準確地識別前所未見的惡意流量。

深度學習模型會經歷多層分析,並在數毫秒內處理數百萬個數據點。這些複雜的模式識別系統能夠以無與倫比的準確性分析網路流量活動。這類系統還可以識別未知的惡意內嵌流量,而且誤判率更低。此一額外的智慧保護層可進一步保護敏感資訊並防止可能導致企業癱瘓的攻擊。

若要深入了解 IPS 解決方案如何在安全基礎結構中工作,請參閱此報告:Palo Alto Networks 防禦入侵的方法

入侵防禦系統常見問答集

問:入侵防禦系統有哪兩種主要類型?

答:入侵防禦系統有數種偵測惡意活動的方法,但是最常使用的兩種主要方法如下:基於特徵碼的偵測和基於統計性異常的偵測。

問:使用 IPS 系統有什麼好處?

答:IPS 提供的好處包括,您可以識別惡意活動、記錄和報告偵測到的威脅,並採取預防措施來阻止威脅造成嚴重損害。

問:我需要具備 IPS 的防火牆嗎?

答:是。IPS 之所以必要,部分原因在於其可以防堵防火牆未堵住的安全漏洞。入侵防禦系統的目的在於偵測並拒絕惡意攻擊者存取,以避免造成系統損害。IPS 是新世代防火牆不可或缺的一部分,可以提供急需的額外安全層。