Вопрос: Есть ли в этом сценарии какая-либо дополнительная ценность,
Есть ли решение IPS / Deep Package Inspection? Из всех я
понимаю: Нет. Но я не нашел там четкого ответа.
Чтобы ответить на вопрос, сначала давайте раскроем ключевой термин «ценность». Здесь мы спрашиваем: «Какова ценность контроля безопасности?».
Элементы управления безопасностью (WAF, IPS, брандмауэры SPI являются примерами технических средств обеспечения безопасности) используются для управления рисками. Меры безопасности, которые стоят больше, чем ожидаемые потери с течением времени из-за отсутствия контроля, обычно не применяются, а те, которые стоят меньше, чем ожидаемые потери с течением времени, будут внедрены.
Есть ли какая-либо ценность в установке IPS, когда брандмауэр ограничен одним портом и установлен WAF, на самом деле задается этим вопросом: основаны ли ожидаемые потери на том, как все настроено в данный момент, за вычетом ожидаемых потерь после того, как IPS было введено в действие больше, чем стоимость IPS. Если ответ да тогда нет стоимость в установке IPS, так как стоимость ее установки больше, чем выгода, которую она дает. Это пример процесса управления рисками в действии.
Когда дело доходит до этой конкретной ситуации, недостаточно информации, чтобы однозначно ответить на вопрос. Любой технический ответ не собирается этого делать. Даже если бы у нас была вся информация, которая была бы обширной, существует достаточно вариаций в том, как люди рассчитывают риск, что мы определенно не смогли бы ничего сделать, кроме как дать «способ сделать это» и, возможно, самый длинный ответ о сбое сервера. :-)
Однако в общих чертах это области, в которых IPS (здесь мы будем объединять HIPS и NIPS для простоты) дает возможность получить выгоду при внедрении вместе с существующими решениями:
- Для случаев, когда есть перекрестная функциональность, в качестве вторичного контроля, если брандмауэр или WAF были неправильно настроены или скомпрометированы, не улавливают угрозу или обнаруживают угрозу другим методом, что увеличивает вероятность обнаружения методов уклонения от обнаружения.
- Для случаев, когда IPS обеспечивает дополнительную защиту, которая еще не предусмотрена. Это зависит от продукта и реализации, но может включать в себя такие вещи, как...
- Блокировка известных вредоносных IP-адресов
- Блокировка на основе корреляции событий - например. IP-адреса, которые, как было замечено, сканируют порты перед отправкой HTTP-запросов.
- Предотвращение/обнаружение модификации файлов неавторизованными процессами
- Многие другие
- Для повышения видимости. IPS, как правило, может дать вам больше информации о ландшафте угроз, поскольку он смотрит на гораздо больше того, что происходит в среде, а не только на веб-трафик.
Таким образом, ценность IPS будет зависеть от риска. Конечно, есть сценарии, в которых можно было бы установить IPS в этом сценарии, даже если бы он обеспечивал только избыточность и не предоставлял дополнительных функций — подход «пояс и скобки». Если защита личного веб-сайта, вероятно, не будет стоить того, если защита интеллектуальной собственности на миллиарды долларов, скорее всего, будет иметь ценность.
