通过统一 SASE 中的全面 IDPS，挫败安全风险

在安全接入服务边缘（SASE）领域，入侵检测和防御系统（IDPS）的集成几乎是普遍现象。 它的作用不仅仅是挫败已知的漏洞利用，还能警惕 IOC（入侵指标），提供全面的保护。 我甚至认为，近期各组织更多地将 IDPS 用于 “出错指标 “和 “攻击指标”。 IDPS 的强大之处在于它能提供丰富的网络流量洞察力；它不仅能提取连接元数据（如连接的 5 个元组），还能深入研究各种协议字段的微妙细节。 这种深度提取可以获得有关网络中数据特征的宝贵信息，从而增强上下文感知能力。 IDPS 采用多种方法加强网络安全。 它通过基于签名的检测方法，熟练地检测和阻止已知的漏洞和恶意软件。 此外，它还通过采用可识别不规则数据包或数据流模式的规则来防范异常数据。 这些规则将其权限扩展到异常协议属性大小和意外协议值行为。 虽然服务提供商在SASE 框架内的 IDPS 功能和安全有效性可能略有不同，但由于使用了通常来自第三方威胁情报供应商的签名数据库，其核心功能大体相似。 此外，即使面对攻击者采用的多种规避技术，IDPS 技术也已成熟并开发出类似的功能。 根据我的评估，供应商之间的主要区别在于可观察性及其提供的威胁猎杀设施，重点是最大限度地减少误报和误报。 本文无意深入探讨 IDPS 在 SASE 服务中的功能差异。 相反，它试图探索 SASE 服务在数据包路径中执行 IDPS 功能的精确点，以及这些插入点是否能有效检测原始流量中的攻击模式。 有些人认为，在安全接入服务边缘（SASE）服务中的代理服务器级别加入入侵检测和防御系统（IDPS）功能就足够了。 他们的理由是，许多组织已经采用 OnPrem IDPS 对普通流量进行入侵检测。 OnPrem IDPS 的主要挑战在于无法检查 TLS 加密的流量。 鉴于 SASE 代理可进行中间人（MITM）TLS 检查，因此它们可以访问未加密的流量。 因此，我们认为在代理处设置 IDPS 插入点就足够了。 此外，有些人认为，相当多的系统已针对网络级（L3/L4）和 TLS 级攻击打了足够的补丁。 为此，攻击者将重点转向在应用程序（L7）和数据层面采用更复杂的战术。 因此，人们普遍认为，不将 IDPS 功能扩展到网络内代理级以外是合理的。 然而，这一论点并非在所有情况下都成立。 考虑到物联网设备仍在老旧、不经常更新的操作系统上运行。 这些设备可能仍然容易受到更广泛的攻击，因此有必要采取全面的安全方法。 许多人还承认，预计 SASE 服务将在代理和 L3 层面采用 IDPS，以确保对所有网络流量进行彻底检查。 要实现全面的攻击检测，IDPS 功能不仅要应用于前面讨论过的代理层，还要应用于广域网接口层，即流量进入和离开指定用于进出互联网的接口的地方。 虽然这种方法比仅在代理层面部署 IDPS 有所改进，但也带来了挑战。 在流量流经代理的情况下，IDPS 可能无法看到会话两个方向的原始流量。 代理通常会终止连接并建立新的连接。 由于它们依赖本地 TCP/IP 协议栈，因此会重新组合原始数据包、重新排列 TCP 数据、重新创建 IP/TCP 选项并重新生成 TLS 握手信息。 因此，广域网接口级的 IDPS 可能缺乏对源于内部网络的原始流量的可见性，从而可能导致其忽略原始流量中的攻击模式。 值得注意的是，攻击者不一定都是外部攻击者，也可能有内部攻击者。 此外，由于以前感染过恶意软件，攻击可能来自内部系统。 因此，确保 IDPS 始终如一地观察两个方向的原始流量对于有效检测和预防威胁至关重要。

通过多个 IDPS 插入点寻求 SASE 服务

我们主张 SASE 服务提供在多个点插入 IDPS 的灵活性，所有点同时激活。 各组织应可自由选择是否在每个 L3 接口和代理层部署 IDPS。 这种方法使 IDPS 能够检查会话客户端和服务器端点的原始流量，即使流量经过 TLS 加密并通过代理。 此外，企业应积极寻找 SASE 服务，避免因多个插入点而产生重复警报和日志。 例如，不通过任何代理但穿越多个 L3 接口（在一个接口上接收，通过另一个接口发送）的流量可能会被两个 IDPS 实例看到，从而可能导致重复警报和日志。 企业最好确保最大限度地减少日志的冗余，防止行政人员在处理安全功能产生的大量日志时被淹没。 理想情况下，SASE 服务应在每个流量会话的基础上显示智能，并在 SASE 服务内未发生流量修改的情况下智能地避免重复执行 IDPS 功能。 此外，企业应寻求能够将多个安全功能（包括各种 IDPS 实例）生成的日志与特定流量会话相关联的解决方案。 这种相关性有助于提高可观察性，并通过简化安全事件的映射来简化威胁猎手的工作。 认识到 IDPS 的计算密集性质，各组织还应尽可能努力节约资源。 例如，如果企业已经采用了主机 IDS (HIDS) 或 On-Prem IDPS，则可能希望保留在特定实例上针对某些类型流量停用 IDPS 的控制权。 提供基于策略的 IDPS 指导的 SASE 服务可使企业有能力决定哪些流量应由 SASE 框架内的不同 IDPS 实例进行检查。 总之，IDPS 在 SASE 范式中的有效性不仅取决于其功能，还取决于 SASE 在 IDPS 插入点方面提供的灵活性，以及它为组织提供的控制程度，以满足其特定要求。