Cómo elegir un excelente sistema de prevención de intrusiones en la red

La introducción del sistema de prevención de intrusiones en la red NSFOCUS ha sido de gran ayuda. Ahora nuestra red y nuestro entorno de oficina vuelven a estar limpios y eficientes. No sólo ha sido reconocido por los líderes y otros departamentos, sino que mi trabajo también se ha vuelto mucho más fácil. ", dijo Xiao Li, administrador de red de una gran empresa manufacturera. El primer contacto fue más sorprendente que inesperado. La primera vez que Xiao Li tuvo un "contacto cercano" con el Sistema de Prevención de Intrusiones de Red (en adelante, NIPS) fue en En un evento de "Seguridad de la información internacional" hace medio año, en el "Foro y exposición de la Cumbre", la conferencia impartida por el consultor de seguridad tecnológica de NSFOCUS le brindó una comprensión más completa del desarrollo de este tipo de productos y del mercado en sus inicios. Durante estos días, la promoción de NIPS era inseparable de la promoción de reconocidos fabricantes de seguridad extranjeros. Impulsados ​​por la demanda del mercado, estos fabricantes promovieron vigorosamente el concepto de "protección contra intrusiones" y ingresaron al mercado de protección contra intrusiones a través de investigación y desarrollo independientes o fusiones de capital y. Mirando hacia atrás en el mercado interno, hubo innumerables casos de este tipo. Hasta 2005, NSFOCUS Technology lanzó el sistema de prevención de intrusiones en la red NSFOCUS (en lo sucesivo, NSFOCUS NIPS), el primer NSFOCUS NIPS de propiedad nacional con derechos de propiedad intelectual completamente independientes. , ha llenado el vacío en los NIPS nacionales entre los principales fabricantes de seguridad. A medida que la estructura del mercado de detección y prevención de intrusiones se vuelve cada vez más clara, la demanda del mercado nacional de hardware de prevención de intrusiones se ha expandido rápidamente, convirtiéndose en el submercado de seguridad de más rápido crecimiento. También aceptó lentamente este tipo de tecnología y productos. En los últimos dos años, los productos NIPS nacionales han surgido como hongos después de una lluvia, lo que indica que el mercado nacional de hardware de prevención de intrusiones está a punto de alcanzar un nuevo pico. El nuevo producto es inseparable de dos factores decisivos: la acumulación de demanda del mercado y la evolución del desarrollo tecnológico, y lo mismo ocurre con los cortafuegos perimetrales que están sujetos a la conciencia y la iniciativa de gestión de riesgos del administrador y, a menudo, son difíciles de manejar de forma dinámica. Los riesgos cambiantes, los ataques basados ​​​​en datos y los peligros ocultos desconocidos solo pueden detectar el tráfico de red malicioso e ilegal, pero no pueden realizar más análisis. La intercepción activa y la implementación en línea de NIPS no solo pueden detectar ataques de piratas informáticos de manera temprana, sino también directamente. bloquear el tráfico dañino de la red. "¡La prevención activa de intrusiones bloquea el tráfico de ataques inmediatamente y protege las aplicaciones empresariales clave sin interrumpir las operaciones normales!". ¿No es esta la solución de prevención de intrusiones que estábamos buscando? Xiao Li se dio una palmada en el muslo y apareció. ¡Superó las expectativas y obtuvo todos los aplausos! La gran empresa de fabricación donde trabajaba Xiao Li tardó mucho en construir. Sin embargo, se ha integrado una plataforma de información básica, un firewall y un sistema de detección de intrusos relativamente completos en la arquitectura de red de la empresa. Todavía sufrió múltiples ataques de gusanos de red y varios ataques sospechosos de denegación de servicio. El servidor web de la empresa tampoco ha podido proporcionar servicios externos durante mucho tiempo. Daños a los activos de información, aumento de las quejas de los clientes y reducción de la eficiencia de la producción. Todos son intolerables, especialmente en los últimos años, los ataques de seguridad a los sistemas de aplicaciones se han vuelto cada vez más severos. Los gerentes Wang y Xiao Li del Departamento de Gestión de la Información enfrentan grandes desafíos de operación y mantenimiento. NSFOCUS NIPS se introduce en la red empresarial y proporciona capacidades dinámicas de identificación y control de riesgos. Cuando se utiliza en el punto de agregación del tráfico fronterizo de la red empresarial, la red se puede analizar simultáneamente. alertado y bloqueado en tiempo real, eliminando el riesgo de pérdida o filtración de datos comerciales. Mientras desempeña las responsabilidades tradicionales de protección de fronteras, NSFOCUSNIPS se centra más en una inspección en profundidad del tráfico de datos y en la identificación sensible de ataques basados ​​en datos, maximizando así la eliminación de métodos de intrusión avanzados como gusanos, inyecciones de SQL y ataques de denegación de servicio. Durante el período posterior a la puesta en línea de NSFOCUS NIPS, el mayor sentimiento de Xiao Li fue: hubo menos quejas y llamadas de emergencia, y los servidores de producción centrales de la compañía ya no experimentaron fallas de interrupción. ¡Por supuesto, también hubo algunas quejas en la compañía sobre la descarga P2P! La velocidad es mucho más lenta que antes, los videos en línea no se pueden ver normalmente y los juegos en línea no se pueden jugar.

Xiao Li se rió en secreto con orgullo: "Debería haber sido así hace mucho tiempo. En el pasado, más empleados se quejaban de que la página web no se podía navegar normalmente y que la velocidad de acceso al servidor ERP era demasiado lenta. Resultó que esta basura El tráfico estaba consumiendo el valioso ancho de banda de la empresa". Xiao Li tiene tiempo libre. Con esto en mente, decidió promover su experiencia acumulada en el uso de NIPS entre las personas que lo rodean, para que todos, como él, puedan convertirse en los agentes de seguridad más efectivos. administrador de la empresa. Cómo elegir, la práctica trae verdadero conocimiento Cuando se trata de cómo elegir NIPS que se adapte a las características propias de la empresa, el gerente Wang y Xiao Li tienen percepciones diferentes. "Debido a que es un dispositivo de puerta de enlace, NIPS no puede convertirse en el cuello de botella de la red empresarial una vez que se conecta. El sistema debe tener un rendimiento de procesamiento excelente". El gerente Wang planteó por primera vez un problema que preocupa mucho a todos: "Un rendimiento de procesamiento excelente significa que". NIPS no solo puede adaptarse completamente a entornos de red multigigabit, sino que también debe proporcionar sólidas capacidades de procesamiento y análisis de protocolos para identificar y bloquear con precisión diversos tipos de tráfico de red anormales, incluidos los ataques de piratas informáticos, al tiempo que garantiza que el tráfico legítimo no sea interceptado sin afectar la red. en absoluto. Rendimiento ". Xiao Li rápidamente retomó el tema. La capacidad de detección de ataques también es el núcleo de NIPS. Como dispositivo en línea, una vez que ocurren falsos positivos o negativos perdidos, inevitablemente afectará el negocio normal de la empresa. Por lo tanto, las capacidades de detección precisas son sin duda un indicador importante para juzgar la calidad de NIPS. baja tasa de falsos negativos (tasa de negativos perdidos, para eventos de ataques reales, no se emite ninguna alarma a tiempo) y tasa de falsas alarmas (las actividades normales de la red se evalúan como ataques), puede identificar con precisión el tráfico de red normal y el tráfico de ataques anormales, localizar rápidamente. riesgos de seguridad y proporcionar la mejor solución. No hay necesidad de preocuparse por falsas alarmas generadas por el sistema que afecten las operaciones comerciales normales de la empresa, o ataques reales que penetren en el sistema y entren en la intranet de la empresa. Además de los dos indicadores clave de evaluación del rendimiento del procesamiento y las capacidades de detección de ataques, Xiao Li también planteó otras dos cuestiones que le preocupan: la facilidad de implementación y gestión. "A nuestra empresa le tomó mucho tiempo establecer la plataforma de información básica actual, por lo que cuando implementemos productos de seguridad en el futuro, esperamos no afectar la topología de la red existente, como poder acceder rápidamente a la red corporativa a través de puentes transparentes. Por supuesto, un NIPS excelente también debe admitir múltiples métodos de implementación, incluido el enrutamiento y NAT, para adaptarse a posibles cambios en el entorno de la red". Xiao Li continuó: "Ya sea un firewall o NIPS, espero que sean nítidos. blades que pueden ayudar a las empresas a controlar los riesgos de seguridad, en lugar de productos de alta tecnología inalcanzables. La interfaz de administración y configuración del producto debe ser simple y estructurada, y la operación puede usarse fácilmente, lo que puede reducir en gran medida la intensidad del trabajo del administrador y los gastos generales de mantenimiento. "Cada empresa tiene sus propios objetivos estratégicos de informatización", el gerente Wang se hizo cargo del tema, "ya sea a través de sistemas de gestión o medios técnicos, esperamos que cada empleado de la empresa pueda implementar mejor las políticas de seguridad promulgadas por la empresa". , estandarice su propio comportamiento en línea y mejore continuamente el rendimiento y la rentabilidad de TI ahorrando ancho de banda de la red y protegiendo las aplicaciones comerciales clave de la empresa. Además, aunque las empresas aumentarán la inversión en construcción de seguridad de la información año tras año, ¡esperamos que los productos adquiridos lo hayan hecho! confiables Las capacidades de protección ampliadas evitan inversiones repetidas cuando se enfrentan requisitos de seguridad iguales o similares.

"Xiao Li finalmente enumeró algunos indicadores de evaluación. Cree que un NIPS excelente debe tener al menos las siguientes características: 1. Cumplir con los requisitos de alto rendimiento, proporcionar potentes capacidades de procesamiento y análisis de aplicaciones y garantizar la calidad de las comunicaciones de red normales. 2. Identificar con precisión diversos tráficos de red, con una baja tasa de falsos negativos y falsos positivos, para evitar afectar las comunicaciones comerciales normales. 3. Capacidad para detectar y bloquear varios ataques en tiempo real, con amplias capacidades de control de acceso, para evitar ataques futuros; Detectar ataques antes del inicio de las actividades de autorización para evitar o ralentizar las pérdidas que los ataques pueden traer a la empresa. 4. Las funciones integrales y refinadas de control del tráfico y monitoreo del comportamiento del usuario en línea ahorran valiosos recursos de ancho de banda de la red de las empresas y garantizan una operación estable y continua. de negocios clave; 5, con alta disponibilidad, proporcionando medidas de garantía de confiabilidad en múltiples niveles, como hardware y software 6. Capacidades de protección IPS multienlace escalables para evitar la duplicación innecesaria de inversiones en seguridad; El modo en línea bloquea los ataques fuera de la red empresarial por primera vez. También admite la implementación del modo de derivación para la detección de ataques, que es adecuado para diferentes niveles de necesidades del usuario. Resumen A medida que aumentan los requisitos de información de las empresas, la lógica empresarial y la dependencia de los sistemas de procesos. La presión sobre los sistemas de información está aumentando, los puntos ciegos y los peligros ocultos en la seguridad de la información son cada vez más prominentes y el costo de la pérdida de información es cada vez más elevado. En particular, la "amenaza de intrusión" que conduce al riesgo de pérdida de valor ha atraído una atención generalizada. Esta medida auxiliar se ha transformado en una estrategia básica que es difícil de evitar en la construcción de TI, y ha surgido la teoría de protección de seguridad de la información dinámica y receptiva que puede identificar en gran medida las amenazas que enfrentan los activos de información, evitando lo conocido y lo desconocido. eventos de seguridad y eliminar o transferir condiciones y probabilidades de riesgo, se ha convertido en la mejor opción para que las empresas establezcan un entorno de operación comercial seguro, eficiente y confiable.