Întrebare: Există vreo valoare adăugată în acest scenariu pentru a avea și un
Soluție IPS/Deep Package Inspection? Din tot eu
înțelege: Nu. Dar nu am găsit niciun răspuns clar acolo.
Pentru a răspunde la întrebare, mai întâi să despachetăm termenul cheie „valoare”. Ceea ce facem aici este să ne întrebăm „care este valoarea unui control de securitate?”.
Controalele de securitate (WAF, IPS, firewall-uri SPI fiind exemple de controale tehnice de securitate) sunt puse în aplicare pentru a gestiona riscul. În mod obișnuit, controalele de securitate care costă mai mult decât pierderea preconizată în timp din lipsa controlului nu ar fi puse în aplicare, iar cele care costă mai puțin decât pierderea așteptată în timp ar fi puse în aplicare.
Dacă există vreo valoare în introducerea unui IPS atunci când un firewall limitat la un port și un WAF este în loc, pune într-adevăr această întrebare: Pierderea așteptată se bazează pe modul în care este configurat totul în acest moment minus pierderea așteptată după ce IPS a au fost puse în aplicare mai mult decât costul IPS. Dacă răspunsul este da atunci nu există valoare în introducerea unui IPS, deoarece costul punerii acestuia este mai mare decât beneficiul pe care îl oferă. Acesta este un exemplu al procesului de management al riscului în acțiune.
Când vine vorba de această situație particulară, nu există suficiente informații pentru a răspunde definitiv la întrebare. Orice răspuns tehnic dat nu o va face. Chiar dacă am avea toate informațiile, care ar fi extinse, există suficiente variații în modul în care oamenii calculează riscul, încât cu siguranță nu am fi capabili să facem nimic în afară de a oferi „o modalitate de a face asta” și, posibil, cel mai lung răspuns Serverfault vreodată. :-)
În termeni generali, totuși, acestea sunt domenii în care un IPS (vom combina aici HIPS și NIPS pentru simplitate) oferă oportunități de valoare atunci când este implementat împreună cu soluțiile existente:
- Pentru cazurile în care există o întrerupere a funcționalității, ca control secundar dacă firewall-ul sau WAF a fost configurat greșit sau compromis, nu preia amenințarea sau detectează amenințarea printr-o metodă diferită, crescând astfel probabilitatea de detectare a tehnicilor de evaziune de detectare.
- Pentru cazurile în care IPS oferă protecție suplimentară care nu este deja furnizată. Acesta depinde de produs și de implementare, dar poate include lucruri precum...
- Blocarea adreselor IP cunoscute rău intenționate
- Blocare bazată pe corelarea evenimentelor - de ex. IP-uri care au fost văzute ca fiind scanate de porturi înainte de a trimite solicitările HTTP
- Prevenirea/detectarea modificărilor fișierelor prin procese neautorizate
- Multe altele
- Pentru o vizibilitate sporită. În general, IPS vă va putea oferi mai multă vizibilitate asupra peisajului amenințărilor, deoarece analizează mult mai mult ceea ce se întâmplă în mediu, nu doar traficul web.
Pe scurt, dacă un IPS are valoare va depinde de risc. Există, cu siguranță, scenarii în care s-ar alege să pună un IPS în acest scenariu, chiar dacă ar oferi doar redundanță și nicio funcționalitate suplimentară - abordarea „centrulă și bretele”. Dacă protejați un site web personal, probabil că nu va merita, dacă protejați proprietăți intelectuale în valoare de miliarde de dolari, este mai probabil să fie de valoare.
