入侵防御系統(tǒng)(IPS)很久以前被稱為是安全操作的“神丹妙藥”，在經(jīng)歷炒作周期后，IPS又回到我們身邊。而現(xiàn)在，下一代IPS(NGIPS)正在逐漸部署到現(xiàn)實(shí)世界環(huán)境中，現(xiàn)在的問題是IPS是否將存在于企業(yè)環(huán)境，還是逐漸消逝——隨著企業(yè)較少關(guān)注外圍安全，而試圖綁定類似功能到UTM和下一代防火墻中。

對于這個問題，還沒有達(dá)成共識。但如果你平均出NGIPS支持者和反對者，會出現(xiàn)一個中間地帶。正如許多重新設(shè)計的產(chǎn)品，如果正確部署并由技術(shù)熟練的員工支持，IPS仍將為企業(yè)提供有效的安全保護(hù)。

Sophos公司技術(shù)戰(zhàn)略主管James Lyne表示，“盡管企業(yè)較少關(guān)注外圍安全，IPS仍然很有用，你不再依賴于網(wǎng)絡(luò)作為安全邊界，但保持網(wǎng)絡(luò)整潔和發(fā)現(xiàn)異常活動，總是有好處。”

這并不是說沒有反對者。例如安全顧問Nathaniel Couper-Noles，就懷疑IDS/IPS的用處。Neohapsis公司的首席安全顧問Couper-Noles解釋說，移動、云計算、IPv6等技術(shù)都對IPS背后的經(jīng)濟(jì)帶來挑戰(zhàn)，“對于很多客戶來說，在進(jìn)入復(fù)雜的反應(yīng)式解決方案前，最好專注于戰(zhàn)略和過程等基本面，IDS/IPS可能不會消失，但當(dāng)前的架構(gòu)可能會對其失去一些興趣，類似于病毒讓位于高級的多態(tài)性攻擊一樣。”

然而，其他安全工作人員發(fā)現(xiàn)，最新改進(jìn)版的NGIPS能夠幫助降低風(fēng)險，雖然還并不完美，但是已經(jīng)逐漸改進(jìn)。

IT Cyber Security領(lǐng)先的滲透測試者Joshua Crumbaugh表示，“所有這些解決方案都可以被繞過，但它們提供的不斷變化的性質(zhì)和全面的監(jiān)控能夠減少事故的數(shù)量，這些系統(tǒng)的另一個好處是其應(yīng)用程序意識，和全?？梢曅怨δ?。這些功能允許可接受的使用政策的嚴(yán)格執(zhí)行，并防止對受限的操作系統(tǒng)和軟件的未經(jīng)授權(quán)訪問。”

也許評估NGIPS中最重要的是理解下一代IPS中的“下一代”并不是革命性的。SystemExpert公司顧問Alex Chayeriat開玩笑道，“他們應(yīng)該將其命名為‘比IPS好一點(diǎn)點(diǎn)’，這些設(shè)備變得更好了，但沒有引入新的方法，只是大大改進(jìn)舊的方法—上下文意識、安全報告、應(yīng)用意識和整體更深的檢查。”

Sourcefire公司創(chuàng)始人兼首席技術(shù)官M(fèi)arty Roesch解釋道，這個系統(tǒng)為其保護(hù)的環(huán)境構(gòu)建了一份地圖，并使用它來通知IPS，“下一代IPS是建立在關(guān)于網(wǎng)絡(luò)的信息基礎(chǔ)上，這些信息會實(shí)時更新，告訴我們對于特定網(wǎng)絡(luò)在特定時間點(diǎn)，事件的重要性。”Chaveriat表示，這種上下文感知能夠更好地幫助企業(yè)評估外圍威脅。此外，NGIPS設(shè)備開始以更好的方式處理安全報告，提供一個簡單的平臺來查看所有數(shù)據(jù)。

Plixer International公司首席執(zhí)行官M(fèi)ichael Patterson表示，雖然企業(yè)可能嗅到了網(wǎng)絡(luò)外圍的“死亡”，IPS仍將作為分隔工具。Patterson表示，“一些企業(yè)應(yīng)該考慮在內(nèi)部網(wǎng)絡(luò)部署IDS/IPS，監(jiān)控外圍異常行為可能會錯過橫向移動到企業(yè)內(nèi)部的威脅。”

即使企業(yè)考慮將外圍保護(hù)作為優(yōu)先工作，IPS解決方案并不一定會鎖定整個企業(yè)。NGIPS增加更多功能，它就與其他已經(jīng)在執(zhí)行這些功能的類別產(chǎn)生交集。WatchGuard公司安全戰(zhàn)略主管Corey Nachreiner表示，“NGIPS與UTM和NGFW共享很多功能，這兩個解決方案都有NGIPS的功能，如果你認(rèn)為你可以受益于整合NGIPS中的功能，那么為什么不整合更多功能呢?”

無論是選擇UTM還是NGIPS中的功能，Nachreiner表示，尋求網(wǎng)絡(luò)控制和可視性的企業(yè)應(yīng)該找到提供關(guān)于應(yīng)用活動的細(xì)粒度信息的工具，該工具還要能夠解密HTTPS，并集成一系列認(rèn)證平臺。更重要的是，企業(yè)應(yīng)該更關(guān)注報告和管理控制臺。

Nachreiner表示，“很多這些解決方案看起來很類似，但真正的區(qū)別在于，它們管理的難易度，以及有多少有用的報告，尋找能夠幫你節(jié)省管理時間，而不犧牲安全性的功能和特性。”

Roesch說道，“我認(rèn)為入防御系統(tǒng)最大的錯誤源自于廚房水槽的方法：打開一切，讓芯片落入到可能的位置，這是人們部署入侵防御遇到的問題。人們需要投入時間來正確配置，但你需要從簡單的事情做起。”

根據(jù)安全服務(wù)供應(yīng)商BTB Security的Ron Schlecht表示，傳統(tǒng)的基于簽名的技術(shù)很容易規(guī)避，但隨著IPS增加基于異常的解決方案和其他高級功能，學(xué)習(xí)曲線變得更陡了。他指出，“企業(yè)購買這些解決方案的渴望度降低了，人們越來越意識到重要的在于正確地部署這些解決方案，此外，企業(yè)要足夠成熟，不僅要了解他們應(yīng)該尋找的東西，而且當(dāng)發(fā)現(xiàn)異常時，需要能夠采取行動。”

事實(shí)是，企業(yè)需要這些系統(tǒng)、流程和技能來應(yīng)對威脅。然而，如果這些流程已經(jīng)部署到位，NGIPS將加固安全性。如果IDS/IPS檢測是你的安全計劃的很大一部分，那么，你應(yīng)該升級到NGIPS，提供更少的誤報和更多的細(xì)節(jié)信息。