Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27039:2015(2016年发布)入侵检测与防御系统
入侵检测与防御系统的选择、部署和运行指南
一、ISO/IEC 27039:2015 入侵检测与防御系统概述
ISO/IEC 27039:2015(2016 年发布)为组织在其信息安全框架内选择、部署和运行入侵检测系统(IDS)和入侵防御系统(IPS)提供了指南。随着网络威胁在复杂性和数量上的不断演进,IDS/IPS 技术作为识别和潜在阻止恶意活动的关键控制点发挥着重要作用。本标准旨在补充 ISO/IEC 27001 建立的更广泛的信息安全管理体系(ISMS)框架。
IDS 和 IPS 的关键区别在于:IDS 监控可疑活动并发出警报而不采取行动,而 IPS 实时主动阻止检测到的威胁。ISO/IEC 27039 为这两种方法以及在两者之间进行选择时的考量因素提供了指南。
标准涵盖了基于网络的 IDS/IPS(NIDS/NIPS)、基于主机的 IDS/IPS(HIDS/HIPS)、无线 IDS/IPS(WIDS/WIPS)和网络行为分析(NBA)系统。针对每种类型,标准讨论了检测方法(基于签名、基于异常和状态协议分析)、部署架构和运营考量。
| IDS/IPS 类型 | 监控范围 | 检测方法 | 典型部署位置 |
|---|---|---|---|
| 网络型(NIDS/NIPS) | 网络流量段 | 签名、异常、协议分析 | 网络关键点、DMZ 区域 |
| 主机型(HIDS/HIPS) | 单个端点/服务器 | 系统调用、文件完整性、日志分析 | 关键服务器、员工端点 |
| 无线型(WIDS/WIPS) | Wi-Fi 频谱与流量 | 签名、伪 AP 检测、频谱分析 | 企业无线环境 |
| 网络行为分析(NBA) | 网络流数据 | 统计异常、基线对比 | 核心网络、数据中心边界 |
二、选择与部署策略
ISO/IEC 27039 提供了选择和部署 IDS/IPS 解决方案的结构化方法。选择过程始于安全需求分析,考虑组织的威胁概况、风险偏好、法规要求和现有安全控制。标准强调 IDS/IPS 不应孤立部署,而应作为分层防御策略的一部分,与防火墙、端点保护、安全信息和事件管理(SIEM)系统以及事件响应能力协同工作。
未经充分测试就在内联阻塞模式下部署 IPS 可能会导致合法流量被阻断,造成业务中断。ISO/IEC 27039 建议初始以仅监控模式部署,然后根据观察到的误报率逐步启用防御能力。
签名管理与调优
标准强调的一个关键运营需求是签名管理。必须通过来自供应商或威胁情报源的定期更新来保持签名的时效性。然而,标准警告不要在未测试的情况下部署签名,因为编写不佳的签名可能导致大量误报,使安全团队不堪重负。推荐的做法是在具有代表性流量的预演环境中测试新签名,根据组织的特定环境调整检测阈值,并在启用阻止动作之前以监控模式部署签名。
三、运营管理与事件响应集成
ISO/IEC 27039 涵盖了 IDS/IPS 系统的完整运营生命周期,包括初始配置、持续调优、监控和告警、事件响应集成以及定期审查与评估。标准建议建立正常网络行为的基线流量概况作为异常检测的参考,为不同告警严重级别定义升级路径,并将 IDS/IPS 告警与组织的 SIEM 系统集成以进行关联分析。
实施与 ISO/IEC 27039 一致的成熟 IDS/IPS 程序的组织通常能够将入侵检测速度提高 60%,并通过系统化调优和与其他安全数据源的关联分析将误报告警减少 40%。
从工程角度来看,标准衍生出几种实用的部署模式。对于网络 IDS/IPS,端口汇聚和网络 TAP 提供了最可靠的流量可见性。对于基于主机的系统,代理部署应与端点管理平台集成以确保一致的覆盖范围。标准还涉及性能考量,指出 IDS/IPS 设备必须具备处理峰值流量而不发生丢包的能力,丢包可能导致检测盲点。工程团队应实施提供跨所有 IDS/IPS 传感器统一可见性并支持自动化规则更新分发的集中管理控制台。在云端部署环境中,虚拟 IDS/IPS 实例的弹性伸缩能力尤为关键,需要确保在流量突发时检测能力不会因为资源不足而下降。
常见问题
问:应该使用 IDS 还是 IPS?
答:选择取决于风险承受能力和运营成熟度。当监控足够且误报需要先审查再采取行动时,IDS 更合适;当需要立即阻止已知威胁且组织能够管理潜在误报阻断风险时,IPS 更合适。
答:选择取决于风险承受能力和运营成熟度。当监控足够且误报需要先审查再采取行动时,IDS 更合适;当需要立即阻止已知威胁且组织能够管理潜在误报阻断风险时,IPS 更合适。
问:IDS/IPS 签名应多久更新一次?
答:标准建议基于风险的更新频率。关键漏洞可能需要立即更新,而常规签名可以在测试后按计划周期更新。
答:标准建议基于风险的更新频率。关键漏洞可能需要立即更新,而常规签名可以在测试后按计划周期更新。
问:加密是否会使 IDS/IPS 失效?
答:是的,加密流量可以绕过基于签名的检测。标准建议在法律允许的情况下部署 SSL/TLS 解密能力,或使用能够在端点解密后检查流量的主机代理。
答:是的,加密流量可以绕过基于签名的检测。标准建议在法律允许的情况下部署 SSL/TLS 解密能力,或使用能够在端点解密后检查流量的主机代理。
问:机器学习在现代 IDS/IPS 中扮演什么角色?
答:虽然 2015 年版标准早于机器学习在 IDS/IPS 中的广泛采用,但标准中描述的基于异常的检测方法构成了现代基于机器学习的检测引擎的概念基础。
答:虽然 2015 年版标准早于机器学习在 IDS/IPS 中的广泛采用,但标准中描述的基于异常的检测方法构成了现代基于机器学习的检测引擎的概念基础。
