如今，电子商务与各种关键应用正在快速“互联网化”，与此同时安全威胁如‘异形’般滋生的速度比以往任何时候都要快，全球黑客的数量与技术也不断提升。复杂的扫描、渗透、协议模糊工具及技术也变得更加常见。

    最糟糕的是，现在黑客渗入网络、应用程序、数据库的驱动力很强，因为他们想要窃取信息，将其出售从而获利。这就是现代化的银行抢劫案，而且很多这样的抢劫通过窃取信息并对外出售能够轻而易举地成功并构成犯罪。

    让问题更加严重的是，这类犯罪被抓获的风险很低。例如，一个十来岁的罗马尼亚少年利用一台位于玻利维亚的机器攻击美国一家银行的服务器，这种僵尸网络攻击怎能被追踪？就算这一攻击被追踪到了，执法机关也不太可能弄明白这一犯罪的实质。同时，当事机构很可能会因为这些负面的原因出现在《华尔街日报》或是《金融时报》的头版。

    因此，企业等应该做什么呢？

    这个问题很复杂，而且大多数机构没有较多的员工和预算来充分保护他们的网络。事实上，无论一家机构的收入怎样，可能只有5%会被花在IT上，而IT预算中的8%会花在网络信息安全上。然而，被定为成最新的速效解决方法的终端产品浩如烟海。

    IT安全面临一项非常让人头疼的挑战：面对不断变化的各种威胁，怎样善加利用宝贵的预算，提供最大化的业务保障。答案可以归纳为一条准则：在合理的范围内让一切与攻击监测和策略执行有关的事情自动化，这样就能将宝贵的IT安全人员和预算用于其它项目。这一原则好似显而易见，但其实全面的安全自动化说着容易做着难。IT安全决策者必须弄清楚需求，从而引导他们进行明智的安全投资，获得确定的业务保障回报。

    IPS解决方案在客户的现实网络中究竟表现如何呢？

    最近，Infonetics公司进行的IPS研究对用户在部署和管理不同生产商提供的IPS解决方案方面的体验进行了调查。

    该研究收集了169家在生产网络中使用IPS解决方案的公司给出的答案，特别是如何采购、安装、使用IPS解决方案。在该研究中，应答者负责其所在公司IPS产品与服务的“管理或规划”。每家被调查公司平均雇员数量为9418人，均为以下五家IPS厂商之一的客户：思科，IBM-ISS，McAfee，Sourcefire和TippingPoint。

    本文所述仅为Infonetics观点，不代表IT168观点

    非在线设备可以检测到网络攻击，但不能拦截攻击。而在线设备提供实时深度检测并在第二层到第七层阻断攻击数据包。Infonetics进行的IPS客户调查显示，不同的IPS供应商提供的在线解决方案差别很大，详见图1。

    客户调查报告显示，91%以上的TippingPoint IPS设备都是在线部署，而思科、IBM-ISS和McAfee分别都在70%以下。

    这些结果的根本原因在于TippingPoint的IPS为提供业界领先的可靠性、吞吐量和低延迟性能而专门设计的。产品的处理能力从200Mbps到5Gbps不等，而TippingPoint的Core Controller IPS解决方案速度达到10Gbps，与此同时引入的网络延迟不超过84微秒。

    那么，为什么有些客户不采用在线IPS部署？既然在主动地阻拦恶意攻击方面好处这么多，为什么他们不愿意使用在线解决方案呢？Infonetics进行的IPS客户调查结果显示，使用非在线解决方案的主要原因包括：

•     对可靠性/可用性的顾虑
•     吞吐量下降
•     流量延迟增加
•     误报或阻断合法的应用流量

    对于任何主动式在线网络安全设备而言，这些顾虑都是很正常的。如果在线设备发生故障，如果它们没有被设计成像TippingPoint的IPS那样平滑而透明地将自己从网络中排除，那么网络可用性就会受到损害。如果在线设备未被设计成具备必要的性能从而能以与网络相同的速度检测并传送流量的话，那么对吞吐量和延迟的影响将损害应用性能。此外，如果IPS系统过度警觉，结果因过滤器精准低下而阻拦了合法流量，那么IT部门的支持前台将很快被最终用户的投诉淹没。

    诸如TippingPoint这样设计合理的IPS解决方案能够消除客户的这些顾虑。从在线部署TippingPoint IPS客户的数量之一事实足以证明与其它IPS供应商的客户相比，TippingPoint的客户对于他们的IPS解决方案的消除主要顾虑的能力拥有更多信心。

    本文所述仅为Infonetics观点，不代表IT168观点

    对于在线入侵防御而言，另一项关键要求是能够启用大量的过滤器来阻断攻击，而不仅仅是检测恶意流量。过滤器的精准性，或者说IPS过滤器拦截恶意流量而不阻断合法应用的能力能给客户将IPS过滤器设置为阻断模式信心。

    图2展示了根据Infonetics的数据，IPS用户启用拦截恶意攻击的过滤器的平均数量。

    TippingPoint提供的IPS解决方案，特别是TippingPoint的安全研究小组DVLabs，以提供准确性非常高的IPS漏洞过滤器而着称，这些过滤器非常精准，不会阻拦合法的应用流量。此外，这些漏洞过滤器能够提供对现有和未来利用应用漏洞的所有攻击提供全面防护，为客户提供强有力的零日漏洞攻击保护。每个TippingPoint的IPS出厂时都带有“推荐设置”——很多过滤器缺省已被启用以阻断恶意流量。

    本文所述仅为Infonetics观点，不代表IT168观点

    对于IPS解决方案而言另一个关键问题是过滤器开发及相关更新的及时性，从而保护新发现、新公布的软件漏洞。毕竟，“迟到总比不到好”并不是安全管理人员想从IPS厂商那里听到的答案。图3 展示回答他们的供应商每周发布一到两次过滤器更新的受访者的数量。

    共87%的TippingPoint客户称每周收到更新，其中37%的用户称每周收到两次更新，50%的用户称每周收到一次更新。思科的用户中至少每周更新一次的比例是56%。IBM-ISS和McAfee的用户中收到至少每周一次更新的比例分别为56%和42%。

    这一结果反映出，TippingPoint对其DVLabs安全研究小组的IPS过滤器开发和软件的漏洞研究能力上投资非常巨大。在探索软件应用漏洞方面，TippingPoint引领着IPS行业的发展。

    这方面的安全研究和IPS过滤研发能力使得TippingPoint能够在软件供应商公布漏洞之前或公布之后很短的时间内就开发出相应的IPS过滤器。

    此外，Infonetics的数据显示，与其它IPS厂商的用户相比，TippingPoint的用户更愿意使用IPS所有的过滤器更新。（图4）

    TippingPoint受访用户中近四分之三(74%)称他们通常会使用TippingPoint DVLabs 团队提供的所有IPS过滤器更新。这暗示着与其它竞争对手的用户相比，TippingPoint的用户对其IPS厂商更有信心。

    所有来自DVLabs的TippingPoint IPS过滤器更新都包含“推荐设置”，确切地说明TippingPoint推荐缺省情况下如何使用每个新的过滤器。正是这一信息给了客户自动应用TippingPoint的IPS过滤器更新的信心。

    有时候，甚至在应用程序漏洞向公众公布之前新的IPS过滤器就推出了。这种情况就是IPS厂商提供了“零日漏洞”威胁覆盖。黑客会在软件供应商研发出软件漏洞补丁之前就发现应用程序漏洞。这类零日漏洞威胁会给网络留下敞开的安全漏洞。为了应对这些威胁，IPS厂商需要御用的研究团队，致力于坚持不断地漏洞研究与分析，开发零日漏洞过滤器，在软件补丁发布前就堵住漏洞。

    IPS厂商怎样比较零日威胁覆盖？根据Infonetics的调查数据，TippingPoint 的受访用户中半数回答称他们得到了零日漏洞威胁保护，这一数字是最接近的竞争对手的两到三倍。另有24%的调查者称他们在漏洞公布当天得到了保护。20%的Sourcefire用户称预先得到零日漏洞防护，而McAfee用户比率为15%，思科10%，IBM-ISS是8%。（图5）

    这反映出TippingPoint对DVLabs的漏洞研究能力投资非常巨大，以及TippingPoint在IPS行业中发现软件应用程序漏洞方面的领先事实。 

   本文所述仅为Infonetics观点，不代表IT168观点

    如果解决方案设置和使用都很困难的话，网络管理员不会愿意将这一入侵防御系统应用在其网络之上。Infornetics调查披露了这五家供应商各自的使用参数，包括安装时间和IPS过滤器配置的便捷程度。

    据Infonetics的Jeff Wilson称：“这方面是研究中最重要的发现之一。许多IPS设备都卡在了初始化配置阶段，或者更糟的是，设备配置错了，结果不能阻拦攻击。”

    TippingPoint 客户报告的上线时间最快，其中76%称TippingPoint的IPS设备在两小时以内就能安装完成。38%的思科和MaAfee用户称他们在两小时内安装完成IPS设备，而仅有17%的IBM-ISS用户称在两小时内成功安装，如图6。

    除了部署以外，最初及后续的IPS过滤器配置对于尽可能充分利用IPS解决方案也是至关重要的。利用尽可能少的IT资源来管理和部署这些过滤器很重要。Infonetics研究将IPS过滤器配置分为三个级别：

•     轻松的工作: 能够在过滤器库中进行检索，将过滤器应用于各个网段，有效激活执行，在预期的时间框架内快捷、独立地完成，不需供应商的协助。
•     适度的工作：在过滤器库检索、网段应用、策略执行激活等方面遇到一些问题，花费了比预期更多的时间。
•     可观的工作：需要来自供应商的技术支持或销售支持以完成过滤器库检索、网段应用、策略执行激活等。

    如图7所示，66%的TippingPoint用户称配置IPS过滤器是“轻松的工作”。相对的，22%的IBM-ISS用户、15%的McAfee用户和只有14%的思科用户称配置过滤器是“轻松的工作”。

    真实世界观察结论

    入侵防御系统的好处显而易见，正如2003年8月业内一位重要分析师说的那样：“入侵防御将会替代入侵监测”。然而， Infonetics的IPS用户调查显示，部分IPS厂商的30-45%的用户仍然没有在线部署这些带有大量能够阻拦恶意流量的过滤器的产品。他们仍然仅将这些产品作为非在线使用，监测攻击，而不是拦截攻击。

    TippingPoint的用户对他们购买的IPS产品更有信心，在每项关键IPS性能和可管理性方面TippingPoint都名列前茅，通常领先对手很多。图8总结了这些情况。

    与竞争对手的用户相比，TippingPoint的用户忠诚度更高，会再次购买IPS产品。事实上，Infonetics的IPS客户调查显示，62%的TippingPoint受访用户有意向购买更多IPS产品而且“肯定只考虑现在的IPS供应商的产品”，根本不会去看TippingPoint竞争者提供的产品。

    本文所述仅为Infonetics观点，不代表IT168观点