監控內部滲透、抵禦外部攻擊　Sourcefire新一代IPS捍衛網路安全

由瑞奇數碼所代理的Sourcefire產品，在入侵偵測系統的功能方面，認為不應該單只有偵測，還要搶先一步阻擋、防禦，才算是真正做到網路安全。Sourcefire以公司總部設在吉隆坡的優質人壽保險商Malaysian Assurance Alliance Berhad(MAA)為例，指出企業對於導入入侵偵測系統的考量重點為何，Sourcefire又是如何獲得青睞。

MAA部屬了一套分層防禦系統，透過防火牆、路由器、控制器(Controller)與網路安全設備，用於網路流量的監控。任何新增的安全方案都不能影響其網路效能。MAA原先使用了IDS來作為網路的監控與防範措施，然而這樣的解決方案僅僅針對可能的威脅執行告警通知，卻不能夠自發性的做封鎖或防禦。因此，MAA決定要尋找一套解決方案，不只是發出警告，更要能在攻擊可能發生前就即時進行封鎖。同時，MAA也關注於內部的潛在威脅，若繼續使用舊有的解決方案，恐怕無法防範來自內部的攻擊事件。

MAA需要一個對使用者來說是透明的且對現行資安系統具有輔助能力，對網路架構來說，只做最小調整，並且又能維持網路原有效能的IPS解決方案。經過審慎評估與測試後，MAA決定採用Sourcefire 3D System。

由於Sourcefire針對網路環境的威脅具有以下幾項特點，例如Sourcefire的IPS能自動識別並將相關聯事件進行優先排序。此解決方案還能自動調整IPS規則，阻止可疑行為、運行報告，並執行備份到外部設備。當一個事件被IDS偵測到時，影響等級也會馬上被分類出來，MAA就可以使用inline模式將此規則開啟，此時就能馬上阻擋有問題的流量，確保正常流量能繼續運作。而其RNA能儲存即時網路流量並監控網路行為，以幫助識別潛在的漏洞和可能的資料外洩。

Sourcefire的設備支援頻寬需求和延遲調整，提供全面的安全及無中斷服務。MAA部署Sourcefire的3D3500 Sensor，處理1Gbps的流量，其延遲僅小於1毫秒。另外Sourcefire非常易於安裝，無須更改MAA現有的網路架構。初始安裝只用了幾個小時，並微調後2個星期的觀察和評估。

以前MAA必須採取人工手動篩選每天數以百計的事件。更換Sourcefire後，Sourcefire的自動化偵測，排除無效的攻擊事件，篩選真正高風險高影響的事件。以前花了一整天來完成，現在只需要1個小時，不僅省時間，又減少了人為錯誤。