监控内部渗透、抵御外部攻击　Sourcefire新一代IPS扞卫网络安全

由瑞奇数码所代理的Sourcefire产品，在入侵侦测系统的功能方面，认为不应该单只有侦测，还要抢先一步阻挡、防御，才算是真正做到网络安全。Sourcefire以公司总部设在吉隆坡的优质人寿保险商Malaysian Assurance Alliance Berhad(MAA)为例，指出企业对于导入入侵侦测系统的考量重点为何，Sourcefire又是如何获得青睐。

MAA部属了一套分层防御系统，透过防火墙、路由器、控制器(Controller)与网络安全设备，用于网络流量的监控。任何新增的安全方案都不能影响其网络效能。MAA原先使用了IDS来作为网络的监控与防范措施，然而这样的解决方案仅仅针对可能的威胁执行告警通知，却不能够自发性的做封锁或防御。因此，MAA决定要寻找一套解决方案，不只是发出警告，更要能在攻击可能发生前就实时进行封锁。同时，MAA也关注于内部的潜在威胁，若继续使用旧有的解决方案，恐怕无法防范来自内部的攻击事件。

MAA需要一个对使用者来说是透明的且对现行网安系统具有辅助能力，对网络架构来说，只做最小调整，并且又能维持网络原有效能的IPS解决方案。经过审慎评估与测试后，MAA决定采用Sourcefire 3D System。

由于Sourcefire针对网络环境的威胁具有以下几项特点，例如Sourcefire的IPS能自动识别并将相关联事件进行优先排序。此解决方案还能自动调整IPS规则，阻止可疑行为、运行报告，并执行备份到外部设备。当一个事件被IDS侦测到时，影响等级也会马上被分类出来，MAA就可以使用inline模式将此规则开启，此时就能马上阻挡有问题的流量，确保正常流量能继续运作。而其RNA能存储实时网络流量并监控网络行为，以帮助识别潜在的漏洞和可能的数据外泄。

Sourcefire的设备支持带宽需求和延迟调整，提供全面的安全及无中断服务。MAA部署Sourcefire的3D3500 Sensor，处理1Gbps的流量，其延迟仅小于1毫秒。另外Sourcefire非常易于安装，无须更改MAA现有的网络架构。初始安装只用了几个小时，并微调后2个星期的观察和评估。

以前MAA必须采取人工手动筛选每天数以百计的事件。更换Sourcefire后，Sourcefire的自动化侦测，排除无效的攻击事件，筛选真正高风险高影响的事件。以前花了一整天来完成，现在只需要1个小时，不仅省时间，又减少了人为错误。