Câu hỏi: Có bất kỳ giá trị gia tăng nào trong kịch bản này để có một
Giải pháp kiểm tra gói hàng IPS / Deep đã có? Từ tất cả tôi
hiểu: Không. Nhưng tôi không tìm thấy bất kỳ câu trả lời rõ ràng nào ở đó.
Để trả lời câu hỏi, trước tiên hãy giải nén thuật ngữ chính "giá trị". Những gì chúng tôi đang làm ở đây là hỏi "giá trị của kiểm soát an ninh là gì?".
Kiểm soát bảo mật (WAF, IPS, tường lửa SPI là ví dụ về kiểm soát bảo mật kỹ thuật) được đưa ra để quản lý rủi ro. Các biện pháp kiểm soát an ninh có chi phí cao hơn tổn thất dự kiến theo thời gian do không có biện pháp kiểm soát thường sẽ không được áp dụng và những biện pháp kiểm soát có chi phí thấp hơn tổn thất dự kiến theo thời gian sẽ được áp dụng.
Liệu có bất kỳ giá trị nào trong việc đưa IPS vào khi tường lửa giới hạn ở một cổng và WAF được đặt đúng chỗ hay không thực sự đặt ra câu hỏi này: Có phải tổn thất dự kiến dựa trên cách mọi thứ được thiết lập tại thời điểm này trừ đi tổn thất dự kiến sau khi IPS có được đặt ở vị trí lớn hơn chi phí của IPS. Nếu câu trả lời là Vâng sau đó không có giá trị trong việc đưa vào một IPS, vì chi phí để đưa vào nó lớn hơn lợi ích mà nó mang lại. Đây là một ví dụ về quy trình quản lý rủi ro đang hoạt động.
Khi nói đến tình huống cụ thể này, không có đủ thông tin để trả lời dứt khoát câu hỏi. Bất kỳ câu trả lời kỹ thuật nào được đưa ra sẽ không thực hiện được. Ngay cả khi chúng tôi có tất cả thông tin, sẽ rất phong phú, thì vẫn có đủ các biến thể trong cách mọi người tính toán rủi ro mà chúng tôi chắc chắn không thể làm gì ngoài việc đưa ra "cách thực hiện" và có thể là câu trả lời Serverfault dài nhất từng có :-)
Tuy nhiên, về mặt chung, đây là những lĩnh vực mà IPS (chúng tôi sẽ kết hợp HIPS và NIPS ở đây để đơn giản) mang lại cơ hội cho giá trị khi được triển khai cùng với các giải pháp hiện có:
- Đối với các trường hợp có sự giao thoa về chức năng, như một biện pháp kiểm soát phụ nếu tường lửa hoặc WAF bị định cấu hình sai hoặc bị xâm phạm, không phát hiện mối đe dọa hoặc phát hiện mối đe dọa bằng một phương pháp khác, do đó làm tăng khả năng phát hiện các kỹ thuật trốn tránh phát hiện.
- Đối với các trường hợp IPS cung cấp bảo vệ bổ sung chưa được cung cấp. Điều này phụ thuộc vào sản phẩm và việc triển khai nhưng có thể bao gồm những thứ như...
- Chặn các địa chỉ IP độc hại đã biết
- Chặn dựa trên tương quan sự kiện - vd. IP đã được xem là quét cổng trước khi gửi yêu cầu HTTP
- Ngăn chặn/phát hiện sửa đổi tệp bằng các quy trình trái phép
- Nhiều người khác
- Để tăng khả năng hiển thị. IPS nói chung sẽ có thể cung cấp cho bạn khả năng hiển thị rõ hơn về bối cảnh mối đe dọa vì nó xem xét nhiều hơn những gì đang diễn ra trong môi trường, không chỉ lưu lượng truy cập web.
Tóm lại, IPS có giá trị hay không sẽ phụ thuộc vào rủi ro. Chắc chắn có những tình huống mà người ta sẽ chọn đặt IPS trong tình huống này ngay cả khi nó chỉ cung cấp dự phòng và không có chức năng bổ sung - phương pháp "vành đai và niềng răng". Nếu bảo vệ một trang web cá nhân, có lẽ sẽ không đáng, nếu bảo vệ tài sản trí tuệ trị giá hàng tỷ đô la, nhiều khả năng sẽ có giá trị hơn.
