曾經(jīng)提到網(wǎng)絡(luò)安全，很多人的第一反應(yīng)就是防病毒、防火墻、IPS(IDS)這“老三樣”。入侵防御系統(tǒng)(Intrusion Prevention System，簡(jiǎn)稱“IPS”)作為過(guò)去幾十年里應(yīng)用最廣泛、最成熟的網(wǎng)絡(luò)安全產(chǎn)品之一，在持續(xù)監(jiān)控可疑的惡意活動(dòng)，檢測(cè)和預(yù)防網(wǎng)絡(luò)入侵方面發(fā)揮了巨大作用。不過(guò)，在企業(yè)數(shù)字化應(yīng)用日益增多、新安全威脅不斷涌現(xiàn)、網(wǎng)絡(luò)邊界逐漸打破的今天，IPS能否延續(xù)過(guò)去的風(fēng)光?新一代IPS產(chǎn)品(技術(shù))將如何發(fā)展?

1. 結(jié)合人工智能

人工智能(AI)正滲入到生活的方方面面，還滲入到眾多安全工具中，其中包括IPS。AI大大解放了IPS，因?yàn)樗梢宰詣?dòng)處理許多檢測(cè)步驟;能夠發(fā)現(xiàn)異常的網(wǎng)絡(luò)行為，并節(jié)省瀏覽日志的時(shí)間。

DNSFilter數(shù)據(jù)科學(xué)主管Adam Spotton表示，AI在網(wǎng)絡(luò)安全發(fā)揮著重要作用，因?yàn)樗劳性O(shè)計(jì)人員的專長(zhǎng)，可以自動(dòng)做出決策。然而，AI并非可以作為一種現(xiàn)成解決方案來(lái)輕松部署。企業(yè)需認(rèn)真考慮數(shù)據(jù)收集和訓(xùn)練過(guò)程的每一步，以便模型從實(shí)驗(yàn)室發(fā)布到實(shí)際環(huán)境后有效且可靠。這些考慮因素包括：敲定威脅識(shí)別問(wèn)題、收集數(shù)據(jù)以便能夠訓(xùn)練數(shù)據(jù)、迭代測(cè)試及改進(jìn)，以及解釋發(fā)現(xiàn)的結(jié)果。

如果做法得當(dāng)，AI是一種強(qiáng)大的工具，不僅可以用來(lái)檢測(cè)現(xiàn)有威脅，還可以用來(lái)檢測(cè)不斷演變的新威脅。比如說(shuō)，基于AI的威脅檢測(cè)表明，與傳統(tǒng)的手動(dòng)靜態(tài)威脅源相比，它可以發(fā)現(xiàn)的威脅多出60%。IPS供應(yīng)商正逐漸將AI整合到其工具中。

2. 與防護(hù)體系融合

正如IPS在整合更多的AI功能，現(xiàn)在一股愈演愈烈的趨勢(shì)是：IPS工具本身被整合到更龐大的綜合安全體系中。這也是安全行業(yè)整體的發(fā)展趨勢(shì)。供應(yīng)商不是為防病毒、反惡意軟件、垃圾郵件檢測(cè)、IPS、IDS等推出單獨(dú)的產(chǎn)品，而是將它們打包到更加體系化的整體解決方案中。

例如，安全信息和事件管理(SIEM)工具常常添加IPS功能。Paul Caiazzo是提供包含IPS功能SIEM托管服務(wù)的咨詢顧問(wèn)，他表示，由于企業(yè)改用遠(yuǎn)程辦公環(huán)境造成了更多的網(wǎng)絡(luò)異常行為，許多企業(yè)需要優(yōu)化和調(diào)整SIEM平臺(tái)方面的專業(yè)知識(shí)，才能充分利用先進(jìn)功能。

3. 勒索軟件防御

鑒于勒索軟件已成為一大威脅，許多企業(yè)開(kāi)始意識(shí)到必須部署工具以防止勒索軟件入侵。Caiazzo表示，攻擊的成本隨攻擊時(shí)間的增加而增加，因此盡快識(shí)別威脅符合企業(yè)的最佳利益，將得逞的勒索軟件攻擊影響降至最低，需要盡早檢測(cè)到攻擊。

作為勒索軟件防御和檢測(cè)套件而銷售的眾多工具含有IPS功能，綜合分析SIEM、IPS及其他系統(tǒng)提供的數(shù)據(jù)，可以識(shí)別潛在的攻擊途徑以免被利用，或者在早期階段識(shí)別隱蔽的攻擊，從而幫助企業(yè)搜尋威脅，比攻擊者搶先一步采取安全措施。

4. 擴(kuò)展防護(hù)邊界

在傳統(tǒng)IPS工具應(yīng)用最廣泛的時(shí)期，部署在網(wǎng)絡(luò)邊界是其最主要的應(yīng)用形態(tài)。只要企業(yè)留意網(wǎng)絡(luò)邊緣，并防止任何威脅滲入，就可以確保安全。

這種應(yīng)用模式正在改變，許多企業(yè)使用以邊界為中心的網(wǎng)絡(luò)安全策略，該策略對(duì)網(wǎng)絡(luò)邊界內(nèi)部的潛在惡意流量幾乎毫無(wú)可見(jiàn)性或控制度，這是單層防御機(jī)制。這種單層防御機(jī)制最終可能成為安全策略的最大風(fēng)險(xiǎn)點(diǎn)之一。

圍繞企業(yè)總部或數(shù)據(jù)中心的IPS功能仍然至關(guān)重要，但它需要得到一系列更廣泛功能的支持，以應(yīng)對(duì)日益遠(yuǎn)程和分散的邊界，因此縱深防御已成為新常態(tài)。縱深防御需要多層安全控制，以提高如果一層被擊敗，另一層可識(shí)別并阻止攻擊的可能性。

5. IPS的云化應(yīng)用

IPS過(guò)去安裝在本地，由內(nèi)部IT人員來(lái)維護(hù)和管理。這種模式仍有一定的市場(chǎng)。然而，當(dāng)前，云工具基本上占據(jù)了主導(dǎo)地位。擴(kuò)展檢測(cè)和響應(yīng)(XDR)套件提供廣泛的基于云的端點(diǎn)保護(hù)，并包括IPS功能。同時(shí)，傳統(tǒng)的IPS能力更容易被放到云端，從而更便捷地以服務(wù)化的形式提供給用戶。

參考鏈接：https://www.datamation.com/security/intrusion-prevention-system-trends/

文章來(lái)源：安全牛