IPS(침입 방지 시스템)란 무엇입니까?

IPS 보안 서비스는 일반적으로 소스와 대상 간의 직접 통신 경로에 “인라인”으로 배포되는데, 여기서 해당 경로를 따라 모든 네트워크 트래픽 흐름을 “실시간”으로 분석하고 자동화된 예방 조치를 취할 수 있습니다. IPS는 네트워크의 어느 곳에나 배포할 수 있지만 가장 일반적인 배포는 다음과 같습니다.

• 엔터프라이즈 에지, 경계
• 엔터프라이즈 데이터 센터

IPS는 차세대 방화벽(NGFW) 내의 통합 IPS 기능에서 동종 최고의 독립 실행형 IPS로 배포하거나 동일한 기능을 켤 수 있습니다. IPS는 악성 트래픽을 식별하기 위해 취약성 또는 익스플로잇 모두에 해당할 수 있는 서명을 사용합니다. 일반적으로 이러한 서명 기반 탐지 또는 통계적 이상 기반 탐지를 통해 악성 활동을 식별합니다. 

1. 서명 기반 탐지는 익스플로잇 코드에 있는 고유 식별 서명을 사용합니다. 익스플로잇이 발견되면 해당 서명은 점점 더 확장되는 데이터베이스로 이동합니다. IPS에 대한 서명 기반 탐지에는 개별 익스플로잇을 식별하는 익스플로잇 대면 서명 또는 공격 대상 시스템의 취약성을 식별하는 취약성 대면 서명이 포함됩니다. 취약성 대면 서명은 이전에 관찰되지 않은 잠재적 익스플로잇 변종을 식별하는 데 중요하지만, 거짓 양성 결과(위협으로 잘못 분류된 양성 패킷)의 위험도 증가합니다.
2. 통계적 이상 기반 탐지는 네트워크 트래픽을 무작위로 샘플링한 다음 샘플을 성능 수준 기준과 비교합니다. 샘플이 기준을 벗어난 것으로 식별되면 IPS는 잠재적 공격을 방지하기 위한 조치를 트리거합니다.

IPS는 네트워크 악용이 가능한 악성 트래픽을 식별한 후 보호를 위한 가상 패치로 알려진 것을 배포합니다. 가상 패치는 알려진 취약성과 알려지지 않은 취약성을 악용하는 위협에 대한 안전 조치의 역할을 합니다. 가상 패치는 익스플로잇이 취약성으로 진행하거나 그로부터 오는 경로를 방지하고 차단하는 보안 정책 및 규칙의 계층을 구현하여 호스트 수준이 아닌 네트워크 수준에서 해당 취약성에 대한 커버리지를 제공합니다.

IDS 시스템은 네트워크를 모니터링하고 네트워크 관리자에게 잠재적 위협에 대한 경고를 보내는 반면, IPS 시스템은 보다 실질적인 조치를 취해 네트워크에 대한 액세스를 제어하고 침입 데이터를 모니터링하며 공격이 발생하는 것을 방지합니다.