| 出版日期:2005-02-21 总期号:1388 本年期号:11 |
|
 |
ISS:从IDS到IPS
高岚 入侵检测(IDS)是ISS公司的立足之本。ISS公司自成立后,就一直专注于防黑客的工作,连续六年被IDC公司评为企业级网络安全产品的领先供应商。1月21日,ISS公司CEO Tom Noonan 在他的中国之行中却说:2005年,ISS的发展重点将转向IPS(入侵防护)。 ISS诞生于1994年,但是,它的成名却是在2000年,雅虎等知名网站遭到DDoS(分布式拒绝攻击)攻击之时。而在此之前,ISS就利用其IDS工具RealSecure成功地检测到了这种当时还鲜为人知的攻击方式,并发出了警告。现在,ISS的防护工具已经遍布全球15000个企业中,全世界政府中有40家都在使用,但是,他们却要宣布转型。 IPS优于IDS 对于为什么要转变思路,Noonan 说有三个原因:一,从技术角度看,IPS产品采用了单一引擎结构,其主要系统具有前瞻性,能够识别某些已知或未知的威胁。二, IPS产品对于企业资产可以在不同层面进行保护,包括网络层以及服务器、台式机或笔记本电脑等漏洞较多的地方。此外,随着无线技术的兴起,ISS的新产品还可以保护终端客户的移动办公以及移动的笔记本电脑。三,ISS公司的IPS产品成熟了。其推出的IPS产品不是单一功能产品,也不是产品的简单叠加,而是一个统一的安全产品平台——ESP(Enterprise Security Platform)。它具有很多功能,包括IDS、反间谍软件、反垃圾邮件、内容过滤、防病毒以及基于邮件的攻击。而且,它还支持各种新应用。 2001年,ISS就推出了一体化的安全产品平台——Proventia系列产品,并且明确了通过在IDS领域的积累而带动IPS。Noonan认为,IDS和IPS产品在诞生时,在技术方面是有一定逻辑关系的。IPS产品先检测,后防护,这是一个循序渐进的过程,所以ISS在开发产品上也采用了同样的顺序——先IDS,后IPS。目前,Proventia产品在全球已经为ISS创造了1.25亿美元的销售额。 Proventia不是综合网关 目前市场上很多IPS产品的定位是综合网关(All-in-one)或者一体化平台(Integrated),但是,Noonan说,ISS的Proventia不是这样的的产品。“Proventia与其他IPS产品表面上看起来差不多,但由于技术深层的不同,所以在功能上,Proventia更强。” 通常,综合网关或者一体化平台的实现方法是把很多相对独立的功能模块化,再把它们组装在一起,这些功能模块通常来自于不同的供应商,包含多种引擎。但Proventia的产品却是单引擎的,而且其技术只来自于ISS,所以,其所有功能,包括病毒扫描、IPS、E-mail过滤等都基于一个分析协议,通过它就可以完成防护、分析或者阻断通信等所有动作。这两种技术工作方式完全不同,同样面对一组数据包,前者由于包含的功能模块比较多,引擎的工作模式各自不同,为了分析该组数据包是否“干净”,当数据包每经过一个功能模块的时候,就要被基于这种引擎的模块拆包、组包一次,经过若干次后,才能得出结果。但是后者只需一此就行。显然,前者相对来讲,工作效率低、消耗的网络资源大。 做好IPS需要广泛合作 现在,面对各种安全威胁,单靠一个厂商的技术、产品显然不够,于是,在信息安全产业内“合作”变得越来越流行。ISS也不例外,他们的IPS或IDS产品作为模块与其他厂商进行了广泛的合作,其中包括微软的Active Directory,其ESP产品与思科和CheckPoint的防火墙都有接口,另外,他们还跟RSA也保持着紧密的合作关系。 ISS承诺,购买他们的Proventia不但可以防范已知病毒,而且适用于对付未知威胁,用户再不用为了对付某种新兴的威胁,例如Spy ware(间谍软件)再次购买相应的产品。 有消息说,ISS正与某公司合作,预计在今年年底推出100Gps的IPS。目前市场上已有的最顶级产品是5 Gps,这种产品是专为电信运营商设计的,以帮助他们在骨干网上除掉蠕虫。目前,15%~20%的大型电信运营商都被蠕虫所困。Noonan说:“IPS的使用能很好地达到这个目的。人们希望解决这一问题,可以节省大量带宽,相当于再造了大量新的资源,对这些用户的意义就是金钱。” 
ISS公司CEO Tom Noonan |
||||||||||||||||||
