入侵防御系统 (IPS) 监控网络流量是否存在潜在威胁,并通过向安全团队发出警报、终止危险连接、删除恶意内容或触发其他安全设备来自动采取行动阻止威胁。
IPS 解决方案从入侵检测系统 (IDS) 发展而来,用于检测并向安全团队报告威胁。IPS 具有与 IDS 相同的威胁检测和报告功能以及自动威胁防御能力,这就是 IPS 有时被称为“入侵检测和防御系统”(IDPS) 的原因。
由于 IPS 可以直接阻止恶意流量,因此可以减轻安全团队和安全运营中心 (SOC) 的工作量,使他们能够专注于更复杂的威胁。IPS 可以阻止合法用户的未经授权操作,从而帮助执行网络安全策略,并且支持合规性工作。例如,IPS 可满足支付卡行业数据安全标准 (PCI-DSS) 对入侵检测措施的要求。
IPS 使用三种主要威胁检测方法(单独或组合)来分析流量。
基于异常的检测方法使用人工智能和机器学习,来创建并不断完善正常网络活动的基准模型。IPS 将正在进行的网络活动与模型进行比较,一旦发现偏差,就会立即采取行动,例如某个进程使用了比通常更多的带宽,或者某个设备打开了通常关闭的端口。
由于基于异常的 IPS 会对任何异常行为做出反应,因此它们通常可以阻止全新网络攻击,尽管这些攻击可能躲过了基于特征符的检测。它们甚至可能捕捉到零日漏洞,零日漏洞是指在软件开发人员知道存在软件漏洞或有时间修补漏洞之前,攻击者就已经利用软件漏洞进行攻击。
然而,基于异常的 IPS 可能更容易出现误判。即使是正常的良性活动,例如授权用户首次访问敏感网络资源,也可能触发基于异常的 IPS。因此,授权用户可能会被从网络中删除,或其 IP 地址被屏蔽。
基于策略的检测方法基于安全团队设置的安全策略。每当基于策略的 IPS 检测到违反安全策略的操作时,它就会阻止该尝试。
例如,SOC 可能会设置访问控制策略来规定哪些用户和设备可以访问主机。如果未经授权的用户尝试连接到主机,基于策略的 IPS 将阻止他们。
虽然基于策略的 IPS 提供定制服务,但它们可能需要大量的前期投资。安全团队必须创建一套全面的策略,概述整个网络允许和不允许的行为。
虽然大多数 IPS 使用上述威胁检测方法,但还有一些使用不太常见的技术。
对于那些与恶意活动或可疑活动相关的 IP 地址和域发出来的流量,基于信誉的检测可以进行标记并阻止。状态协议分析侧重于协议行为,例如,它可以通过检测短时间内发出许多并发 TCP 连接请求的单个 IP 地址,来识别分布式拒绝服务 (DDoS) 攻击。
当 IPS 检测到威胁时,它通常通过安全信息和事件管理 (SIEM) 工具记录事件并将其报告给 SOC(请参阅下面的“IPS 和其他安全解决方案”)。
但是 IPS 的功能不止于此。它会使用以下技术自动针对威胁采取行动:
IPS 可能会终止用户的会话、阻止特定的 IP 地址,甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐 (honeypot),这是一种诱饵式资产,使黑客认为他们已经成功,而实际上 SOC 正在监视他们。
IPS 可以允许流量继续,但清除危险部分,例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。
IPS 可能会促使其他安全设备采取行动,例如更新防火墙规则以阻止威胁,或更改路由器设置以阻止黑客到达目标。
某些 IPS 可以防止攻击者和未经授权的用户执行任何违反公司安全策略的行为。例如,如果用户尝试将不应离开的数据库中的敏感信息传输出去,IPS 就会阻止它们。
IPS 解决方案可以是安装在端点上的软件应用程序、连接到网络的专用硬件设备或作为云服务交付。由于 IPS 必须能够实时拦截恶意活动,因此它们总是“内联”部署在网络上,这意味着流量在到达目的地之前会直接通过 IPS。
IPS 根据它们在网络中的位置以及它们监控的活动类型进行分类。许多组织在其网络中使用多种类型的 IPS。
基于网络的入侵防御系统 (NIPS) 监控网络上设备的入站和出站流量,检查各个数据包是否存在可疑活动。NIPS 部署在网络的战略要地。它们通常位于网络外围的防火墙后面,因此可以阻止恶意流量的突破。NIPS 还可以放置在网络内部,以监控进出关键资产(例如关键数据中心或设备)的流量。
基于主机的入侵防御系统 (HIPS) 安装在特定端点(例如笔记本电脑或服务器)上,并且仅监视进出该设备的流量。HIPS 通常与 NIPS 结合使用,为重要资产增加额外的安全性。HIPS 还可以阻止来自被感染网络节点的恶意活动,例如从被感染设备传播的勒索软件。
网络行为分析 (NBA) 解决方案监控网络流量。虽然 NBA 可能像其他 IPS 一样检查数据包,但许多 NBA 专注于通信会话的更高级别详细信息,例如源和目标 IP 地址、使用的端口以及传输的数据包数量。
NBA 使用基于异常的检测方法,标记并阻止任何偏离正常的流量,例如 DDoS 攻击流量,或者与未知命令和控制服务器通信的被恶意软件感染的设备。
无线入侵防御系统 (WIPS) 监视无线网络协议,查看是否存在可疑活动,例如未经授权的用户和设备访问公司的 Wi-Fi。如果 WIPS 在无线网络上检测到未知实体,它可以终止连接。WIPS 还可以帮助检测 Wi-Fi 网络上的配置错误或不安全的设备,并拦截中间人攻击,即黑客秘密监视用户的通信。
虽然 IPS 可作为独立工具使用,但它们旨在与其他安全解决方案紧密集成,作为整体网络安全系统的一部分。
IPS 警报通常会传输到组织的 SIEM,在那里它们可以与来自其他安全工具的警报和信息合并到单个集中式仪表板中。将 IPS 与 SIEM 集成,使安全团队能够通过额外的威胁情报来丰富 IPS 警报、过滤掉错误警报并跟踪 IPS 活动,以确保成功阻止威胁。SIEMS 还可以帮助 SOC 协调来自不同类型 IPS 的数据,因为许多组织使用不止一种类型的 IPS。
如前所述,IPS 是从 IDS 发展而来的,并且具有许多相同的功能。虽然一些组织可能使用单独的 IPS 和 IDS 解决方案,但大多数安全团队部署单一集成解决方案,提供强大的检测、日志、报告和自动威胁防护。许多 IPS 使安全团队能够关闭预防功能,从而允许它们在组织需要时充当纯粹的 IDS。
IPS 充当防火墙后面的第二道防线。防火墙会阻止外围的恶意流量,而 IPS 会拦截任何设法突破防火墙并进入网络的流量。有些防火墙,特别是下一代防火墙,内置了 IPS 功能。
及时发现潜伏在网络中的隐藏威胁。IBM Security QRadar Network Detection and Response (NDR) 通过实时分析网络活动来帮助您的安全团队。它既增加可见性的深度和广度,又提供高质量的数据和分析,从而推动切实可行的洞察力和响应。
通过 IBM Security 的事件响应定额订阅,获得您的组织所需的安全保护,以提高漏洞防范能力。当您与我们的 IR 顾问精英团队合作时,您就有值得信赖的合作伙伴随时待命,帮助您缩短响应事件所需的时间,最大限度地减少其影响,并帮助您在怀疑发生网络安全事件之前更快地恢复。
防止勒索软件中断业务连续性,并在攻击发生时快速恢复 — 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度地减少勒索软件攻击的影响。