解析IDS的误报、误警与安全管理(2) 现在IDS已经发展到了一定的阶段,很显然,下一阶段的工作是全方位的管理。很多机构将注意力集中在管理事件并发掘其相关性上。这已不是单纯的IDS,它不仅关注入侵检测,而且着眼于漏洞评估。IDS需要确定系统是否存在漏洞,以及这些漏洞之间是否存在关联。在获取了评估所需的各组成部分(数据)之后,下一步将是产生漏洞信息。这涉及到与漏洞评估工具,如扫描器的集成。 现在,一个比较大的不利因素是缺乏标准。这完全可以理解,因为这一领域的发展太迅速了。现在有很多产品都可以产生报警,每种产品的实现方式都存在细微的差异,因而人们希望能够有一种集成的方式来解决:如何将NFR的数据格式(layout)映射成ISS的数据格式,如何将Snort的数据格式映射成Cisco的数据格式。而这本身就是一个棘手的问题。当然,供应商的问题在于是否有商业的驱动?我们是否看到了来自客户方面的解决此问题的压力? 其次,为了强化IDS的安全管理功能,还需要与入侵防御形成互动。 入侵防御和入侵检测可以互为补充。当你在使用入侵防护系统时,如果一种功能失效,可以通过其他功能弥补。入侵防御将成为整个防御系统的另一个重要层面。 一个有用的举措是安全设备的集成。因此,你将看到IDS和防火墙之间的联系越来越紧密,就象VPN已经开始向防火墙靠拢。如果这些服务捆绑在一起,就意味着它们可以协同工作,当IDS检测到事件发生时,将自动通知防火墙实施相应策略。但是,要做到这一点,我们必须将误报降至最低。 在一年左右的时间里,我们将继续看到防火墙成为IDS的有力补充。它们将在高层次上发挥特定的作用,它们可以根据你的需要设置进出网络的策略。任何IDS都可以检测你预先设定的行为,并可能阻止攻击。同时,你也将看到越来越多的防火墙具备IDS的能力。 最后,为了强化IDS的安全管理功能,必须使安全信息易于管理,必须使IDS易于使用。 用户是需要大量有关网络运作的信息,但事实并非只是如此。他们需要了解当前发生事件的意义。人们购买IDS是为了知道自己遇到了什么种类的攻击,以及攻击对网络所造成的影响。 用户需要的是安全信息易于理解性。安全信息的易理解性表现在网络信息的人文化、可视化,安全信息的图表化和信息挖掘。 用户还会需要易用性好,需要安全易于管理。例如在IDS中引入企业资产的概念,多样实用的报表,将事件按风险分类,自定义事件,事件的二次分析,容易与其他安全产品联动,与网络管理系统的无缝衔接等等。 提高IDS的易用性,一个非常重要的方面就是提高报警事件描述的质量。几乎所有的IDS都会提供对报警事件的详细描述,报警事件的描述一般包括:事件名称、事件介绍、发布日期、影响的平台和解决的方法。但是,现在很多事件的描述都很简单,比方说在解决方法里面只是提到打什么Patch等,对于缺乏安全经验的网络管理员来说,非常不具备操作性。如果你能够提供网站的连接,告诉他操作的思路,就会好很多。很多IDS提供了防火墙联动的功能,但是在事件的描述中只字不提如何利用联动阻止攻击,这个例子是说明作为这么重要的事件描述功能,应该和IDS的其他功能结合起来,在事件描述中不仅告诉用户事件的起源、影响平台等,还需要告诉客户如何利用好IDS来一定程度的解决问题。这体现了IDS产品本身的内在耦合性存在问题。这也许和许多IDS厂商只是简单的将检测规则和报警事件从其他地方复制或翻译过来,不做深入分析有关。 如果你的工具易用了,用户就会懂得如何更好的配置,大大地减少误警。 总之,由于方法论的问题,IDS的误报和误警是不可能彻底解决的,这个问题对IDS的方向的影响就是它需要走强化安全管理功能的道路。它需要强化对多种安全信息的收集功能,它需要提高IDS的智能化分析和报告能力,它需要与多种安全产品形成配合。只有这样,IDS才有可能成为网络安全的重要基础设施。
