美國《網絡世界》網站對入侵防禦系統(IPS)是采用最佳的(de)産品還是集成的(de)解決方案展這個老問題開了争論。持最佳産品觀點的(de)人認為(wèi)，安全是一(yī)個需要盡可(kě)能的(de)最佳點的(de)地(dì)方。但是，集成的(de)解決方案提供商認為(wèi)，日益發展的(de)威脅需要全面的(de)觀點。這個觀點要考慮更多的(de)因素才能實現。下面是正反兩方的(de)觀點。讀者可(kě)以判斷誰的(de)觀點正确。

　　觀點1.需要最佳産品

　　Sourcefire創始人和(hé)首席技術官馬丁·勒施(Martin Roesch)撰文指出，10多年(nián)以來，我們一(yī)直聽說有關“X安全技術”如(rú)何消失在“Y設備”中的(de)事情，因為(wèi)購買者喜歡融合。但是，盡管有預言者的(de)擔保，有一(yī)個事實是不變的(de) -- 對于最佳的(de)入侵防禦系統仍有大量的(de)和(hé)日益增長(cháng)的(de)需求。

　　勒施說，我還告訴你們一(yī)個秘密：你們可(kě)以在一(yī)個集成的(de)解決方案中有最佳的(de)入侵防禦系統。然而，首先，讓我們談談為(wèi)什麽最佳的(de)入侵防禦系統比僅為(wèi)一(yī)個融合的(de)解決方案的(de)一(yī)部分開發的(de)入侵防禦系統更好。

　　為(wèi)什麽?因為(wèi)最佳解決方案可(kě)提供高(gāo)可(kě)靠性産品。這包括：

　　保護：能夠以高(gāo)度的(de)準确性檢測到所有的(de)攻擊，同時讓攻擊很難避開檢測。

　　性能：認真地(dì)設計設備以便以最大的(de)性能提供最大的(de)能力。

　　靈活性：設備把重點放在做(zuò)好幾件事上并且要非常靈活。一(yī)個很好的(de)例子(zǐ)是我們Sourcefire公司的(de)下一(yī)代入侵防禦系統。可(kě)以肯定地(dì)說，這是同類産品中最好的(de)可(kě)配置的(de)解決方案。

　　·研究：一(yī)個專門的(de)研究團隊提供持續不斷的(de)更新(入侵探測系統/入侵防禦系統、殺毒軟件、安全漏洞管理(lǐ)等)支持這個系統。這個團隊負責開發內(nèi)容和(hé)實施最初的(de)研究以便保持高(gāo)級的(de)能力。

　　當你查看Sourcefire提供的(de)解決方案的(de)時候，你能夠看到所有這些起作用的(de)概念。在最新一(yī)輪NSS測試中，可(kě)以看到Sourcefire的(de)入侵防禦系統解決方案提供最佳的(de)檢測能力、防躲避能力、安全漏洞覆蓋範圍以及任何入侵防禦系統的(de)性能。不僅如(rú)此，我們繼續研究新的(de)檢測方法并且利用一(yī)切機會擴展基礎的(de)Snort(嗅探)引擎功能以保持我們在這個行業的(de)領先地(dì)位。

　　集成的(de)解決方案有它們工作所依據的(de)一(yī)套不同的(de)參數。集成的(de)系統采用類似入侵防禦系統的(de)功能，其目标一(yī)般不是提供最佳的(de)入侵防禦系統，而是提供一(yī)個“足夠好”的(de)功能以及其它一(yī)些核心功能并且以較低(dī)的(de)成本提供許多功能。這個理(lǐ)由是，如(rú)果安全能夠讓人們在“一(yī)個屋檐下”輕松地(dì)獲得和(hé)管理(lǐ)，我們将看到更多地(dì)應用擴展的(de)功能，從而實現更好的(de)安全。

　　這在邏輯上是有意義的(de)。經驗表明，你可(kě)以集成商品功能并且不犧牲太多的(de)功能。遺憾的(de)是，當随意通過糟糕的(de)連接技術進行集成或者如(rú)果要求一(yī)個設備集成太多的(de)功能的(de)話，這個模式就垮掉了。

　　一(yī)般來說，一(yī)個設備的(de)功能越多，它就需要更大的(de)計算能力。當設備不可(kě)避免地(dì)超過負荷并且影響網絡性能的(de)時候，要解決的(de)第一(yī)件事情就是這個解決方案提供的(de)保護質量。用戶很快失去(qù)他們購買這個解決方案的(de)最初的(de)理(lǐ)由。

　　統一(yī)威脅管理(lǐ)(UTM)工具在這方面是最糟糕的(de)。安全領域太頻繁地(dì)從“保護我們避開我們面臨的(de)危險”的(de)模式轉向“保護我們避開互聯網上的(de)10大威脅和(hé)不影響任何事情”的(de)模式。

　　一(yī)些廠商試圖通過制造客戶化的(de)硬件和(hé)芯片來解決這個問題。他們要以勉強接受的(de)性能增加大量的(de)檢測功能。但是，這樣做(zuò)通常要付出保護質量和(hé)靈活性下降的(de)代價。

　　綜上所述，最佳的(de)技術可(kě)以是一(yī)個集成的(de)解決方案的(de)一(yī)部分并且能夠發揮很好的(de)功能，但是，它要使用與上述完全不同的(de)觀點來建造。Sourcefire建造下一(yī)代防火牆的(de)方法是以有效的(de)和(hé)強有力的(de)方法把經過證明的(de)最佳技術集中在一(yī)起，同時不犧牲檢測質量、性能或者靈活性。

　　我們認為(wèi)，這種不犧牲産品質量的(de)解決這個問題的(de)方法是建造安全平台的(de)一(yī)個新的(de)模式。這個平台能夠運行單獨的(de)最佳技術，或者作為(wèi)一(yī)個集成的(de)解決方案針對目前的(de)威脅以後可(kě)用的(de)最佳保護。

　觀點2：集成是最好的(de)

　　Palo Alto Networks高(gāo)級安全分析師韋德·威廉遜(Wade Williamson)撰文指出，對于入侵防禦系統采取集成的(de)方法還是最佳技術的(de)方法的(de)争論是一(yī)個虛假的(de)選擇。目前，對于入侵防禦系統采取的(de)最佳的(de)方法是集成的(de)方法。威脅環境和(hé)安全行業本身都支持這個觀點。

　　10多年(nián)來，安全行業一(yī)直試圖使用一(yī)種新的(de)專用設備解決每一(yī)個新的(de)安全挑戰。這個方法在操作上是不可(kě)行的(de)并且最終是無效的(de)。單獨的(de)系統造成了信息豎井，導緻設備在每一(yī)個網段上蔓延，并産生管理(lǐ)和(hé)運營開銷。

　　同樣重要的(de)是，随着攻擊技術日益高(gāo)級，單獨的(de)解決方案缺少檢測和(hé)修複複雜的(de)現代攻擊所需要的(de)重要的(de)背景信息。

　　現代的(de)IT威脅的(de)長(cháng)期發展已經超出了單獨的(de)入侵防禦系統能夠解決的(de)攻擊類型。現在的(de)攻擊者并不把自(zì)己限制在僅僅利用一(yī)個安全漏洞方面。相反，他們利用許多安全漏洞、惡意軟件、遠程接入攻擊、被感染的(de)URL以及已知的(de)或者客戶化的(de)威脅。利用各種應用程序能夠進一(yī)步d利用上述威脅。這些應用程序能夠代理(lǐ)、秘密傳送和(hé)加密威脅以避開傳統的(de)安全措施

　　要阻止這些類型的(de)威脅，我們必須保證通訊本身的(de)可(kě)見性，控制所有的(de)各種威脅規定并且完全在相關的(de)環境中做(zuò)這個事情。單獨的(de)入侵防禦系統不能做(zuò)這個事情。這是所有的(de)堅定的(de)入侵防禦系統廠商或者被大型網絡安全廠商收購或者開發自(zì)己的(de)下一(yī)代防火牆的(de)主要原因。

　　威廉遜說，我可(kě)以肯定，上述說法會引起一(yī)些不滿。因此，讓我提供一(yī)些信息來支持這個觀點。首席，目前對網絡威脅的(de)任何讨論都應該從威脅如(rú)果避開安全措施開始。一(yī)個入侵防禦系統将漏掉它看不到的(de)或者找錯地(dì)方的(de)威脅。因此，在通訊還沒有達到入侵防禦系統之前，這場戰鬥已經失敗了。集成的(de)解決方案正是在這個地(dì)方提供單獨的(de)入侵防禦系統缺少的(de)重要的(de)環境信息和(hé)控制能力。

　　例如(rú)，考慮如(rú)何定期使用應用程序隐藏威脅。他們能夠加密通訊、跳點端口或者在其它應用程序中建立隧道(dào)以便出現在人們意想不到的(de)地(dì)方。考慮到入侵防禦系統特征一(yī)般是根據端口應用的(de)(例如(rú)在端口Y至端口Z使用X特征)，這是很重要的(de)。如(rú)果這個威脅出現在預料之外的(de)端口，那麽，這個特征就不會執行。

　　除了躲避應用程序之外，代理(lǐ)程序、遠程桌面工具、壓縮的(de)通訊以及UltraSurf和(hé)Hamachi等專用饒過工具都能幫助攻擊者避開檢測。相比之下，下一(yī)代防火牆能檢測所有的(de)通訊，無論是什麽端口，因此，避開端口是無效的(de)。而且，它能不斷地(dì)解碼協議和(hé)應用程序，因此，通訊不能隐藏其中并且控制所有的(de)應用程序類型。這樣，想饒過檢測的(de)通訊就不允許通過網絡。

　　對于專用的(de)入侵防禦系統來說，問題還不止是應用程序。一(yī)個現代的(de)網絡威脅将融合安全漏洞、各種類型的(de)惡意軟件以及遠程網站和(hé)服務器。所有這些組件一(yī)起作為(wèi)這個攻擊的(de)一(yī)個組成部分，每一(yī)個部分對于安全行業來說可(kě)能是已知的(de)或者未知的(de)。單獨的(de)入侵防禦系統僅知道(dào)其中的(de)部分組件(已知的(de)安全漏洞)，而漏掉其它的(de)組件。

　　事實上，對于不考慮現代惡意軟件的(de)複雜性的(de)現代“入侵防禦”措施很難想象一(yī)種合理(lǐ)的(de)方法。現代惡意軟件通常感染代理(lǐ)程序和(hé)正在運行的(de)控制機制。一(yī)個入侵防禦系統可(kě)以在這裏或者那裏檢測到奇特的(de)病毒，但是，不能檢測出對網絡構成威脅的(de)數百萬惡意軟件樣本。一(yī)個入侵防禦系統也許能檢測少數已知的(de)惡意URL，但是，缺少數百萬網站的(de)每日更新以便跟蹤已經被感染或者正在發布威脅的(de)網站。在現代威脅防禦中，關聯的(de)環境是王。單一(yī)功能的(de)解決方案不起作用。

　　而且，入侵防禦系統産品僅限于已知的(de)安全漏洞。雖然所有的(de)現代入侵防禦系統解決方案都使用安全漏洞特征，但是，有些特征仍是以已知的(de)東西為(wèi)基礎的(de)。任何真正的(de)未知的(de)特征都會漏掉。

　　惡意的(de)指揮與控制通訊定期在網絡上顯示為(wèi)未知的(de)通訊。未知的(de)或者沒有分類的(de)URL可(kě)能是一(yī)個攻擊的(de)迹象，因為(wèi)攻擊者将迅速建立和(hé)撤銷URL使他們很難被跟蹤。IT需要檢測未知文件中惡意行為(wèi)的(de)能力。還有許多超出入侵防禦系統能力的(de)事情。但是，這些事情對于阻止入侵者都是非常重要的(de)。

　　因此，有關單獨的(de)和(hé)集成的(de)入侵防禦系統的(de)争論基本上解決了(至少暫時是如(rú)此)。随着壞人從單個攻擊的(de)安全漏掉向多方位的(de)和(hé)多向量的(de)威脅發展，如(rú)果我們人為(wèi)地(dì)把我們的(de)網絡安全智能和(hé)強制執行措施分割為(wèi)專門的(de)豎井，我們就會讓這些壞人占優勢。