なぜ侵入防止システムを使用する必要があるのですか?
IPSテクノロジーは、ブルートフォース攻撃、サービス拒否(DoS)攻撃、脆弱性の悪用などのネットワークセキュリティ攻撃を検出または防止できます。 脆弱性はソフトウェアシステムの弱点であり、エクスプロイトはその脆弱性を利用してシステムを制御する攻撃です。 エクスプロイトが発表されると、多くの場合、セキュリティパッチが適用される前に、攻撃者がその脆弱性を悪用する機会があります。 このような場合は、侵入防止システムを使用して、これらの攻撃を迅速にブロックできます。
IPS テクノロジーはパケット フローを監視するため、セキュア プロトコルの使用を強制し、以前のバージョンの SSL や脆弱な暗号を使用するプロトコルなどのセキュアでないプロトコルの使用を拒否するためにも使用できます。
侵入防止システムはどのように機能しますか?
IPS テクノロジーは、ネットワーク侵入検知システム(NIDS)またはホスト侵入検知システム(HIDS)として、展開されているパケットにアクセスできます。 ネットワーク IPS は、ネットワーク全体をより広く把握し、ネットワークにインラインで展開することも、ネットワーク TAP または SPAN ポートからパケットを受信するパッシブ センサーとしてネットワークにオフラインで展開することもできます。
採用される検出方法は、シグネチャベースまたは異常ベースであり得る。 定義済みのシグニチャは、よく知られたネットワーク攻撃のパターンです。 IPS は、パケット フローとシグニチャを比較して、パターン一致があるかどうかを確認します。 異常ベースの侵入検知システムは、ヒューリスティックを使用して脅威を特定し、たとえば、トラフィックのサンプルを既知のベースラインと比較します。
IDS と IPS の違いは何ですか?
このテクノロジーの初期の実装は、専用のセキュリティアプライアンスに検出モードで導入されました。 テクノロジーが成熟し、統合された次世代ファイアウォール(UTM)デバイスに移行すると、デフォルトのアクションは 悪意のあるトラフィックを防止するように設定されています。
場合によっては、トラフィックを検出して受け入れるか、または防止するかの決定は、特定の IPS 保護に対する信頼度に基づいて行われます。 IPS 保護の信頼性が低い場合、誤検知の可能性が高くなります。 誤検知とは、IDS がアクティビティーをアタックとして識別したが、そのアクティビティーが許容される動作である場合です。 このため、多くの IPS テクノロジーには、攻撃イベントからパケット シーケンスをキャプチャする機能もあります。 これらを分析して、実際の脅威があったかどうかを判断し、IPS保護をさらに向上させることができます。
Feedback