- PR -

IPSのトレンド

1
投稿者投稿内容
tohero0987
常連さん
会議室デビュー日: 2007/05/28
投稿数: 39
投稿日時: 2008-05-09 10:38
時折お世話になっております。

IPSの最近のトレンドがいま一つ分かりません。

Proventiaが取り扱いが多いように見受けられますが、他メーカー製品はどうなんでしょうか。
ActiveScoutなど気になる所ですが、あまり更新情報も見受けられません。

ざっくばらんに情報頂ければ幸いです。
tohero0987
常連さん
会議室デビュー日: 2007/05/28
投稿数: 39
投稿日時: 2008-05-13 09:24
比較的新しいIPS関連の記事が掲載されたサイトを見つけましたのでそちらを参考にしてみます。
ちなみに現在、Proventiaの製品評価中です。
Proventiaを自社運用する時に、管理者様で苦労なされる事などありましたらご意見いただけると参考になります。
tohero0987
常連さん
会議室デビュー日: 2007/05/28
投稿数: 39
投稿日時: 2008-06-09 15:33
有益なスレになっていなくてスミマセン。

取り敢えず、色々調べて分かった事を書きます。
※間違ってたらご指摘ください。

不正侵入検地の機器は、インラインモードで設置できるかできないか、で機能に大差アリです。インラインモードで設置できる物は、リアルタイムでブロック可能ですが、SPANポートなどで監視するものは、せいぜいリセットパケットを投げて対応できるTCPの攻撃等への対応のみ、となります。
また、シグネチャを使用するものと使用しない物でも差があります。
やはり最近の脅威へ対応するにはシグネチャに頼らないと防ぎきらない感はあります。

以下は疑問点です。
・IPSでウィルス(マルウェア)などを検知できる、という事ですが、これはアンチウィルスのようにファイルを検出するのではなく、マルウェアに感染後、そのマルウェアが行う通信だけをIPSは検知して遮断できる、という事なのでしょうか。

※M社のIPSのシグネチャを見ていると、電子メール ワームを検出するものなどあり、電子メールの添付ファイルを見ているのかとも思えるのですが。
また、IBMのサイトのSOCレポートには、「Proventiaには“PE_Overlapping_Header”と呼ばれるシグネチャがあります。このシグネチャは〜中略〜 実行ファイルを検出します。」とも書かれています。

どなたかIPSはどこまでチェックするのか知っていたら教えてくださーい。

自己レス:やはり感染後のマルウェアによる通信を検知して遮断、のようですね。

再び自己レス:それでは、IPSはマルウェアのダウンロードのような通信を防いでくれるのでしょうか?


[ メッセージ編集済み 編集者: tohero0987 編集日時 2008-06-09 16:12 ]
tohero0987
常連さん
会議室デビュー日: 2007/05/28
投稿数: 39
投稿日時: 2008-06-16 09:06
業界の人等から直接お話を伺う機会があり、大凡解りました。

・IPSではダウンロード等のファイルの中身自体を見る事まではしない。
・ダウンロード先のサイトへクロスサイトスクリプティング等で誘導されそうな場合、その前段階のPOSTデータ等を検査して疑いがあれば検知して遮断可能。なのでファイルダウンロードのプロセスの一歩手前で防ぐ、という事で一歩手前で防げなければ、ダウンロードを防ぐ事はできない。但し、感染したPCが他へ感染を広めるような通信を始め、それをIPSで検知した場合は対処可能。
・多くのIPSは、シグネチャ方式で運用するにはセキュリティアナリストレベルでそれなりの知識を持った人が都度アラートを精査する必要あり。自社運用厳しい。自動で適用される範囲で運用する、という手もあるが、完全なIPSの機能は生かしきれない。なのでマネージドサービスなどを利用してセキュリティのプロに運用を委託する。

先日のInterop2008で、ポリシー等の運用の手間不要なIPSとして、TippingPointというメーカーのIPSが取り上げられていました。これはちょっと気になる所です。


1

スキルアップ/キャリアアップ(JOB@IT)