Имеет ли смысл дополнять WAF (брандмауэр веб-приложений) системой предотвращения вторжений (IPS)?

Question 1

Вопрос: Есть ли какая-либо дополнительная ценность в этом сценарии, если также будет установлено решение IPS / Deep Package Inspection? Насколько я понимаю: нет. Но я не нашел там четкого ответа.

Чтобы ответить на вопрос, давайте сначала раскроем ключевой термин «ценность». Здесь мы спрашиваем «какова ценность контроля безопасности?».

Меры безопасности (WAF, IPS, брандмауэры SPI являются примерами технических мер безопасности) внедряются для управления рисками. Меры безопасности, которые стоят дороже ожидаемых потерь с течением времени из-за отсутствия контроля, обычно не внедряются, а те, которые стоят дешевле ожидаемых потерь с течением времени, внедряются.

Есть ли смысл в установке IPS, когда брандмауэр ограничен одним портом и WAF на месте, на самом деле задается этот вопрос: являются ли ожидаемые потери, основанные на том, как все настроено в данный момент, за вычетом ожидаемых потерь после установки IPS, большими, чем стоимость IPS. Если ответ - yesто нетценитьпри установке IPS, поскольку стоимость ее установки больше, чем выгода, которую она обеспечивает. Это пример процесса управления рисками в действии.

Когда дело доходит до этой конкретной ситуации, недостаточно информации, чтобы окончательно ответить на вопрос. Любой технический ответ не сделает этого. Даже если бы у нас была вся информация, которая была бы обширной, есть достаточно различий в том, как люди вычисляют риск, так что мы определенно не смогли бы ничего сделать, кроме как дать «способ сделать это», и, возможно, самый длинный ответ Serverfault когда-либо :-)

Однако в общих чертах это области, в которых IPS (здесь для простоты мы будем объединять HIPS и NIPS) обеспечивает возможность получения выгоды при внедрении вместе с существующими решениями:

В случаях, когда функциональность пересекается, в качестве вторичного контроля, если межсетевой экран или WAF были неправильно настроены или скомпрометированы, не обнаруживает угрозу или обнаруживает угрозу другим методом, тем самым увеличивая вероятность обнаружения методов уклонения от обнаружения.
Для случаев, когда IPS обеспечивает дополнительную защиту, которая еще не предоставлена. Это зависит от продукта и реализации, но может включать такие вещи, как...
- Блокировка известных вредоносных IP-адресов
- Блокировка на основе корреляции событий — например, IP-адреса, которые были замечены в сканировании портов перед отправкой HTTP-запросов.
- Предотвращение/обнаружение изменений файлов несанкционированными процессами
- Многие другие
Для повышения видимости. IPS, как правило, сможет предоставить вам более полную картину ландшафта угроз, поскольку она отслеживает гораздо больше событий, происходящих в среде, а не только веб-трафик.

Подводя итог, можно сказать, что ценность IPS будет зависеть от риска. Конечно, существуют сценарии, в которых можно было бы выбрать IPS в этом сценарии, даже если бы он обеспечивал только избыточность и не имел дополнительных функций — подход «ремни и подтяжки». Если защита личного веб-сайта, то, вероятно, не будет стоить того, если защита интеллектуальной собственности стоимостью в миллиарды долларов, то, скорее всего, будет иметь ценность.

Answer

Вопрос: Есть ли какая-либо дополнительная ценность в этом сценарии, если также будет установлено решение IPS / Deep Package Inspection? Насколько я понимаю: нет. Но я не нашел там четкого ответа.

Чтобы ответить на вопрос, давайте сначала раскроем ключевой термин «ценность». Здесь мы спрашиваем «какова ценность контроля безопасности?».

Меры безопасности (WAF, IPS, брандмауэры SPI являются примерами технических мер безопасности) внедряются для управления рисками. Меры безопасности, которые стоят дороже ожидаемых потерь с течением времени из-за отсутствия контроля, обычно не внедряются, а те, которые стоят дешевле ожидаемых потерь с течением времени, внедряются.

Есть ли смысл в установке IPS, когда брандмауэр ограничен одним портом и WAF на месте, на самом деле задается этот вопрос: являются ли ожидаемые потери, основанные на том, как все настроено в данный момент, за вычетом ожидаемых потерь после установки IPS, большими, чем стоимость IPS. Если ответ - yesто нетценитьпри установке IPS, поскольку стоимость ее установки больше, чем выгода, которую она обеспечивает. Это пример процесса управления рисками в действии.

Когда дело доходит до этой конкретной ситуации, недостаточно информации, чтобы окончательно ответить на вопрос. Любой технический ответ не сделает этого. Даже если бы у нас была вся информация, которая была бы обширной, есть достаточно различий в том, как люди вычисляют риск, так что мы определенно не смогли бы ничего сделать, кроме как дать «способ сделать это», и, возможно, самый длинный ответ Serverfault когда-либо :-)

Однако в общих чертах это области, в которых IPS (здесь для простоты мы будем объединять HIPS и NIPS) обеспечивает возможность получения выгоды при внедрении вместе с существующими решениями:

В случаях, когда функциональность пересекается, в качестве вторичного контроля, если межсетевой экран или WAF были неправильно настроены или скомпрометированы, не обнаруживает угрозу или обнаруживает угрозу другим методом, тем самым увеличивая вероятность обнаружения методов уклонения от обнаружения.
Для случаев, когда IPS обеспечивает дополнительную защиту, которая еще не предоставлена. Это зависит от продукта и реализации, но может включать такие вещи, как...
- Блокировка известных вредоносных IP-адресов
- Блокировка на основе корреляции событий — например, IP-адреса, которые были замечены в сканировании портов перед отправкой HTTP-запросов.
- Предотвращение/обнаружение изменений файлов несанкционированными процессами
- Многие другие
Для повышения видимости. IPS, как правило, сможет предоставить вам более полную картину ландшафта угроз, поскольку она отслеживает гораздо больше событий, происходящих в среде, а не только веб-трафик.

Подводя итог, можно сказать, что ценность IPS будет зависеть от риска. Конечно, существуют сценарии, в которых можно было бы выбрать IPS в этом сценарии, даже если бы он обеспечивал только избыточность и не имел дополнительных функций — подход «ремни и подтяжки». Если защита личного веб-сайта, то, вероятно, не будет стоить того, если защита интеллектуальной собственности стоимостью в миллиарды долларов, то, скорее всего, будет иметь ценность.

Question 2

Вам не нужно использовать проверку пакетов, если вы правильно настроили свой брандмауэр. Но вам все равно нужны IPS/IDS и проверка целостности, даже если у вас есть только один простой сервер с минимальным набором служб.
Рассмотрим следующие ситуации:

если на ваш WAF обнаружен неизвестный метод/сигнатура атаки, то ваш WAF практически бесполезен против такого рода угроз (особенно уязвимостей нулевого дня). в этой ситуации мониторинг активности пользователей и проверка целостности системы — разумный шаг. использование инструментов аудита может помочь и предупредить вас о подозрительных (но не известных) угрозах. однако для этого требуются дополнительные ресурсы, настраиваемые правила аудита и постоянная проверка.
обход WAF не воображаемый. в этом случае IPS/IDS или любой другой механизм сканирования повышает уровень вашей безопасности как второй уровень защиты. Даже если ваш WAF не сработает.

если у вас есть опасения по поводу ваших настроек, но вы не хотите использовать сложное или дорогое решение, вы можетеобъединитьочень простые инструменты, такие как"iptables"индивидуальные правила с"SElinux"и"ПОМОЩНИК"для более надежного плана безопасности.

Answer

Вам не нужно использовать проверку пакетов, если вы правильно настроили свой брандмауэр. Но вам все равно нужны IPS/IDS и проверка целостности, даже если у вас есть только один простой сервер с минимальным набором служб.
Рассмотрим следующие ситуации:

если на ваш WAF обнаружен неизвестный метод/сигнатура атаки, то ваш WAF практически бесполезен против такого рода угроз (особенно уязвимостей нулевого дня). в этой ситуации мониторинг активности пользователей и проверка целостности системы — разумный шаг. использование инструментов аудита может помочь и предупредить вас о подозрительных (но не известных) угрозах. однако для этого требуются дополнительные ресурсы, настраиваемые правила аудита и постоянная проверка.
обход WAF не воображаемый. в этом случае IPS/IDS или любой другой механизм сканирования повышает уровень вашей безопасности как второй уровень защиты. Даже если ваш WAF не сработает.

если у вас есть опасения по поводу ваших настроек, но вы не хотите использовать сложное или дорогое решение, вы можетеобъединитьочень простые инструменты, такие как"iptables"индивидуальные правила с"SElinux"и"ПОМОЩНИК"для более надежного плана безопасности.

Question 3

Вы можете настроить WAF в DMZ для защиты интернет-трафика. Также IDS/IPS плюс DPI могут использоваться во внутренней сети, активно или пассивно (встроенные или нет).

Answer

Вы можете настроить WAF в DMZ для защиты интернет-трафика. Также IDS/IPS плюс DPI могут использоваться во внутренней сети, активно или пассивно (встроенные или нет).

Имеет ли смысл дополнять WAF (брандмауэр веб-приложений) системой предотвращения вторжений (IPS)?

решение1

решение2

решение3

Связанный контент