IPS nie w pełni wykorzystywane
Według badań Infonetics Research, sieciowe systemy zapobiegania wtargnięciom (IPS), które są urządzeniami wpinanymi do sieci w celu wykrywania i blokowania różnych ataków, nadal używane są najczęściej jak systemy wykrywania wtargnięć (IDS), pasywnie monitorujące ruch.
Cisco jest dominującym dostawcą IPS i badania to odzwierciedlają: respondenci to 77 użytkowników rozwiązań Cisco, 36 - TippingPoint, 36 - IBM ISS Proventia, 26 - McAfee i 15 - Sourcefire. Wszyscy użytkownicy dostarczyli szczegółowych opisów sposobu wykorzystania IPS w swoich organizacjach.
Pierwszym krokiem wdrożenia IPS jest zazwyczaj podjecie decyzji czy ma być on używany "w pasmie" czy "pozapasmowo" i według badań, 91 proc. użytkowników TippingPoint wybrało pierwszą opcję, w wypadku Cisco było to 70 proc. IBM i McAfee - 67 proc, a Sourcefire ok. 55 proc.
Najczęściej podawanymi powodami wybrania opcji "poza pasmem" były obawy o niezawodność, niedostateczną przepustowość, opóźnienia w ruchu i problem fałszywych rozpoznań, związane z opcją "in-band".
Dla wybierających opcję "in-band", kolejnym krokiem jest decyzja, które z dostępnych w urządzeniu filtrów ma być aktywowanych w celu blokowania różnych typów ruchu związanych z atakiem. Badania pokazały, że w tym wypadku często nie stosuje się wszystkich filtrów w trybie blokowania ataków, ale w prostszym trybie alarmowania. Filtry IPS do blokowania były stosowane dużo częściej w urządzeniach TippingPoint, a znacznie rzadziej w Sourcefire. W urządzeniach IBM, Cisco i McAfee blokowania i alarmy były aktywowane w proporcjach "pół na pół".
Według badań tylko od 40 do 70 proc. uaktualnień filtrów, oferowanych przez dostawców, jest stosowanych w urządzeniach. Według analityków wynik ten odzwierciedla praktyki użytkowników, którzy zazwyczaj testują uaktualnienie filtrów w warunkach laboratoryjnych zanim je wprowadzą. Czasami nowe sygnatury mogą zakłócą pracę pewnych aplikacji lub blokować protokoły i jest to powód ich pomijania.
Analitycy zauważają też, że rozwiązania TippingPoint są konstruowane z założeniem pracy w paśmie, ale już urządzenia Cisco - nie.
Głównym powodem unikania włączania pełnych filtrów jest, zdaniem analityków, problem wydajności tych urządzeń, które pracując w paśmie mogą opóźniać przepływ ruchu, a także problem fałszywych rozpoznań, który może prowadzić do blokowania ruchu legalnego.
Komentarze (2)
Znaczy się co kolega fffatman ma na myśli? Bo ciężko zrozumieć... Mogę się tylko domyślać, że kolega uważa za ignorantów i/lub idiotów adminów, którzy posiadając IPSy nie włączają ich in-line, nie aktywują wszystkich filtrów i nie ustawiają domyślnie opcji ''drop&alert'' dla każdego zdarzenia. Już z iluś poprzednich komentarzy kolegi wywnioskowałem, że z praktyką to raczej mało wspólnego kolega ma, a za to chyba za dużo czyta wydumanych esejów typu ''Top 10 security best practices''. Wszystkie IPSy rewelacyjnie wyglądają w broszurach reklamowych. A w praktyce to niestety zdecydowanie gorzej wychodzi. Wydajność jakoś niższa od ''prospektowej'', te filtry to też jakoś dziwnie działają, włączy człowiek coś poza ''alert'', to userzy co chwila dzwonią, że przestało działać, a samo ''alert'' zasypuje pięcioma tysiącami warningów/maili na godzinę. Z "bieżącymi uaktualnieniami" to też różnie bywa, przedłużenie supportu czasem jest niemożliwością (vide przejęcie ISS->IBM) etc. Jasne, sprzęt może i ma potencjał (zależy jeszcze którego producenta), ale trzeba poświęcić masę czasu, żeby go prawidłowo wdrożyć, a potem bez przerwy dostrajać. Inaczej jest tylko kolejnym podłączonym do sieci pudłem, które kosztowało bardzo dużo kasy i generuje tyle alertów, że nikt nie ma czasu na ich przeglądanie, a w rezultacie wszyscy o nim zapominają. Przedłużanie supportu kosztuje słono, ale jeszcze więcej kasy jest potrzebne na nieomalże dedykowany do zarządzania IPSem etat. Nawet bardzo duże firmy często nie mają na to budżetu. A rezultaty tego są właśnie takie, jak opisane w artykule...
tzn qltura techniczna przec admina jest jak reszty: przeciez mamy firewall!
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- 2012 - rok przełomowy dla internetu?
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...