침입 방지 시스템(IPS)을 사용해야 하는 이유는 무엇입니까?
IPS 기술은 무차별 대입 공격, DoS(서비스 거부) 공격 및 취약성 악용과 같은 네트워크 보안 공격을 탐지하거나 방지할 수 있습니다. 취약점은 소프트웨어 시스템의 약점이며 익스플로잇은 해당 취약점을 활용하여 시스템을 제어하는 공격입니다. 익스플로잇이 발표되면 보안 패치가 적용되기 전에 공격자가 해당 취약성을 악용할 수 있는 기회가 있는 경우가 많습니다. 이러한 경우 침입 방지 시스템(IPS)을 사용하여 이러한 공격을 신속하게 차단할 수 있습니다.
IPS 기술은 패킷 흐름을 감시하기 때문에 보안 프로토콜의 사용을 강제하고 이전 버전의 SSL 또는 취약한 암호를 사용하는 프로토콜과 같은 안전하지 않은 프로토콜의 사용을 거부하는 데에도 사용할 수 있습니다.
침입 방지 시스템(IPS)은 어떻게 작동하나요?
IPS 기술은 네트워크 침입 탐지 시스템(NIDS) 또는 호스트 침입 탐지 시스템(HIDS)으로 배포된 패킷에 액세스할 수 있습니다. Network IPS는 전체 네트워크에 대한 더 큰 보기를 가지며 네트워크 TAP 또는 SPAN 포트에서 패킷을 수신하는 수동 센서로 네트워크에 인라인으로 배치되거나 네트워크에 오프라인으로 배치될 수 있습니다.
사용되는 검색 방법은 서명 또는 변칙 기반일 수 있습니다. 사전 정의된 서명은 잘 알려진 네트워크 공격의 패턴입니다. IPS는 패킷 흐름을 서명과 비교하여 패턴 일치가 있는지 확인합니다. 이상 징후 기반 침입 탐지 시스템은 휴리스틱을 사용하여 위협을 식별합니다(예: 트래픽 샘플을 알려진 기준과 비교).
IDS와 IPS의 차이점은 무엇입니까?
이 기술의 초기 구현은 전용 보안 어플라이언스에서 탐지 모드로 배포되었습니다. 기술이 성숙해지고 통합 차세대 방화벽 또는 UTM 디바이스로 이동함에 따라 악성 트래픽을 방지하기 위한 기본 작업이 설정됩니다.
경우에 따라 트래픽을 탐지하고 수락하거나 차단하는 결정은 특정 IPS 보호에 대한 신뢰도를 기반으로 합니다. IPS 보호에 대한 신뢰도가 낮으면 오탐 가능성이 높아집니다. 거짓 긍정은 IDS가 활동을 공격으로 식별하지만 활동이 허용되는 동작인 경우입니다. 이러한 이유로 많은 IPS 기술에는 공격 이벤트에서 패킷 시퀀스를 캡처할 수 있는 기능도 있습니다. 그런 다음 이를 분석하여 실제 위협이 있는지 확인하고 IPS 보호를 더욱 개선할 수 있습니다.
피드백