随着新威胁每天出现,风险公司面临的脸部没有正确保护网络数据比以往任何时候都更加普遍地增长。15%的数据泄露涉及医疗组织,金融业10%,公共部门的16%1,银行业将于2018年的网络犯罪成本为1830万美元(每家公司的平均成本)乐动体育 足球快讯2。
许多行业面临严重的后果,因为更严格的立法通过世界遵守数据隐私立法,如HIPAA,ISO 27001,SOX等等。2018年,HIPAA有25,912名投诉和431个数据泄露调查,导致2870万美元的罚款,只有违反十大公司3.。
当公司正在建立他们的时候IT安全策略为了打击这些威胁,用于检测和主动阻止网络中威胁的最重要的网络安全工具中的两个是入侵检测系统(IDS)和入侵防御系统(IPS)。
我们以前审查过带外vs内联网络安全哪些工具与两种策略有关。安全团队很重要,以保持最新的部署和管理这些关键工具的最佳实践,因为安全景观发展。所以让我们深入挖掘这两个基岩解决方案。
关键网络安全解决方案
由于Secops面临数据违规的膨胀威胁,遵守罚款和策略执行,IDS / IPS技术已成为现代安全堆栈中的进入工具。
IDS / IPS相对较轻,可以部署有限的资源,提供高水平安心,网络被保护免受威胁 - 这对较小的网络和企业都很有吸引力。乐动体育 南安普顿合作伙伴许多公司还通过满足许多CIS安全控制和审计数据来实施IDS和IPS解决方案来满足某些合规规定。
IDS与IPS以及他们的工作方式
入侵检测系统(IDS)是一个网络安全工具,用于分析用于恶意活动的网络流量,漏洞漏洞或策略违规,该违规尝试从网络渗透或窃取数据。
IDS通过将当前网络活动与已知的威胁数据库进行比较,查看若干关键行为,如安全策略违规,恶意软件和端口扫描仪来检测威胁。任何违规或入侵活动要么向管理员报告或使用安全信息和事件管理(SIEM)系统收集。暹粒可用于区分恶意活动从误报。
入侵防御系统(IPS)是一种用于检测和阻止所识别的威胁的网络安全工具。在与防火墙的同一驾驶室中,IPS如果数据包代表基于安全性配置文件的已知安全威胁,IPS会积极拒绝网络流量。
IPS连续监控现场网络流量24/7,寻找恶意事件并捕获有关它们的信息。这些事件报告给管理员,同时采取预防措施,包括阻止流量,备用防火墙配置或关闭接入点以防止未来的攻击。IPS还用于识别企业安全政策违规,打击不知情的行动者或阻止员工和客人探究。
IDS与IPS,差异有什么差异?
ID和IPS都分析网络数据包,并将内容与已知的威胁数据库进行比较。关键的高级差异是IDS是监控系统,而IPS是一个控制系统。
IDS没有更改数据包,它是一种被动“仅限”的检测和监控解决方案,它不会采取自己的操作。
其中IP是一种控制系统,该控制系统基于规则集接受或拒绝数据包,基于内容主动地防止数据包传送,类似于防火墙通过IP地址阻止流量。
IDS部署确实需要管理人员或其他系统,如暹粒,以分析结果并采取适当的行动。IDS无法对能够利用这些漏洞的黑客采取自动操作,一旦进入网络,将IDS留下不足以进行威胁预防。ID通常定位为Secops或计算机安全事件响应团队(CSIRT)的后验证法医工具,用于安全事件调查。
另一方面,IPS旨在捕捉该行为中的危险数据包,并在达到目标之前删除它们。独自行动,做出决策,需要使用新的威胁数据定期更新数据库。
ID和IPS有一些需要注意的事情 - 它们只作为其威胁数据库有效,并且在新攻击突破时需要保持更新。
而且,为什么这两个不同的工具?IDS最初被开发为仅限仅限监控工具,因为所需的分析无法跟踪网络基础架构的直接通信流量。这就是它所留下的地方,一个取证检测解决方案,而IPS开发以进一步逐步挡住。
是的,有供应商在一个提供ID和IPS功能。有解决方案具有集成IPS系统,具有防火墙创建统一的威胁管理(UTM)技术。但ID和IPS都发现它们用作现代安全堆栈的Go-tools。
>>立即下载:IT安全白皮书
如何部署和管理IDS / IPS
使用IDS是仅仅是仅限监视解决方案,它在网络基础架构上放置了带外,这意味着它未分析实时流量,而是接收数据的副本。
IDS工具访问此数据的两种方式是开关上的跨度/镜像端口或通过行业最佳实践网络水龙头。跨度通常用于低利用率应用,并且已知可以删除或改变数据包,可能掩盖威胁。网络点击创建了通过物理错误的全双工流量副本,并提供将此数据发送到多个目的地的灵活性。如果IDS正在处理许多网络段,则用于简化数据以优化安全检测的数据来简化数据。如果您正在部署一个虚拟IDS系统,相同的概念将包含虚拟流量镜像或云点按花环棱镜。
IPS利用不同的部署策略。作为一个内联设备意味着IPS直接坐在关键段的路径中。这对于在进入更广泛的网络之前阻止威胁的目的非常重要,但是如果设备失败,那么将如何更新或优化一旦内联更新或优化,那么造成后勤挑战的造成挑战?
Modern IPS tools may have add-on options for internal or built-in bypass, which may be useful in some failure use cases but leaves open additional vulnerabilities like software failures and doesn’t provide the flexibility to sandbox, troubleshoot and optimize and the cost tends to outweigh the industry best practice of utilizing an external bypass. Bypass TAPs reduce network downtime with “inline lifecycle management” which allows you to easily take tools out-of-band for updates, installing patches, maintenance or troubleshooting to optimize and validate before pushing back inline. Designed to eliminate single points of failure within your network.
作为最近的EMA [企业管理伙伴]报告状态,“研究发现,广泛使用外部旁路设备是最好的做法......截止设备一旦部署,往往会证明他们的价值。例如,92%的企业在过去的一年里有一个旁路设备,以防止停机,而81%的人在去年内报告了多次参与。“4.
通过越来越多的安全工具,我们可以通过合并内联的混合设备,从IT团队开始寻找方法来简化其安全堆栈花环的edgelens,这允许您管理包括来自一个设备的ID,IP和Siem的内联和带外工具的整个主机,提供旁路点的可靠性,其具有数据包代理的高级功能。
希望添加内联或带外安全监控解决方案,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
