旧瓶装新酒！新一代IPS的发展与变革

曾经提到网络安全，很多人的第一反应就是防病毒、防火墙、IPS（IDS）这“老三样”。入侵防御系统（Intrusion Prevention System，简称“IPS”）作为过去几十年里应用最广泛、最成熟的网络安全产品之一，在持续监控可疑的恶意活动，检测和预防网络入侵方面发挥了巨大作用。不过，在企业数字化应用日益增多、新安全威胁不断涌现、网络边界逐渐打破的今天，IPS能否延续过去的风光？新一代IPS产品（技术）将如何发展？

人工智能（AI）正渗入到生活的方方面面，还渗入到众多安全工具中，其中包括IPS。AI大大解放了IPS，因为它可以自动处理许多检测步骤；能够发现异常的网络行为，并节省浏览日志的时间。

DNSFilter数据科学主管Adam Spotton表示，AI在网络安全发挥着重要作用，因为它依托设计人员的专长，可以自动做出决策。然而，AI并非可以作为一种现成解决方案来轻松部署。企业需认真考虑数据收集和训练过程的每一步，以便模型从实验室发布到实际环境后有效且可靠。这些考虑因素包括：敲定威胁识别问题、收集数据以便能够训练数据、迭代测试及改进，以及解释发现的结果。

如果做法得当，AI是一种强大的工具，不仅可以用来检测现有威胁，还可以用来检测不断演变的新威胁。比如说，基于AI的威胁检测表明，与传统的手动静态威胁源相比，它可以发现的威胁多出60%。IPS供应商正逐渐将AI整合到其工具中。

正如IPS在整合更多的AI功能，现在一股愈演愈烈的趋势是：IPS工具本身被整合到更庞大的综合安全体系中。这也是安全行业整体的发展趋势。供应商不是为防病毒、反恶意软件、垃圾邮件检测、IPS、IDS等推出单独的产品，而是将它们打包到更加体系化的整体解决方案中。

例如，安全信息和事件管理（SIEM）工具常常添加IPS功能。Paul Caiazzo是提供包含IPS功能SIEM托管服务的咨询顾问，他表示，由于企业改用远程办公环境造成了更多的网络异常行为，许多企业需要优化和调整SIEM平台方面的专业知识，才能充分利用先进功能。

鉴于勒索软件已成为一大威胁，许多企业开始意识到必须部署工具以防止勒索软件入侵。Caiazzo表示，攻击的成本随攻击时间的增加而增加，因此尽快识别威胁符合企业的最佳利益，将得逞的勒索软件攻击影响降至最低，需要尽早检测到攻击。

作为勒索软件防御和检测套件而销售的众多工具含有IPS功能，综合分析SIEM、IPS及其他系统提供的数据，可以识别潜在的攻击途径以免被利用，或者在早期阶段识别隐蔽的攻击，从而帮助企业搜寻威胁，比攻击者抢先一步采取安全措施。

在传统IPS工具应用最广泛的时期，部署在网络边界是其最主要的应用形态。只要企业留意网络边缘，并防止任何威胁渗入，就可以确保安全。

这种应用模式正在改变，许多企业使用以边界为中心的网络安全策略，该策略对网络边界内部的潜在恶意流量几乎毫无可见性或控制度，这是单层防御机制。这种单层防御机制最终可能成为安全策略的最大风险点之一。

围绕企业总部或数据中心的IPS功能仍然至关重要，但它需要得到一系列更广泛功能的支持，以应对日益远程和分散的边界，因此纵深防御已成为新常态。纵深防御需要多层安全控制，以提高如果一层被击败，另一层可识别并阻止攻击的可能性。

IPS过去安装在本地，由内部IT人员来维护和管理。这种模式仍有一定的市场。然而，当前，云工具基本上占据了主导地位。扩展检测和响应（XDR）套件提供广泛的基于云的端点保护，并包括IPS功能。同时，传统的IPS能力更容易被放到云端，从而更便捷地以服务化的形式提供给用户。