曾經(jīng)提到網(wǎng)絡(luò)安全，很多人的第一反應(yīng)就是防病毒、防火墻、IPS（IDS）這“老三樣”。入侵防御系統(tǒng)（Intrusion Prevention System，簡稱“IPS”）作為過去幾十年里應(yīng)用最廣泛、最成熟的網(wǎng)絡(luò)安全產(chǎn)品之一，在持續(xù)監(jiān)控可疑的惡意活動，檢測和預(yù)防網(wǎng)絡(luò)入侵方面發(fā)揮了巨大作用。不過，在企業(yè)數(shù)字化應(yīng)用日益增多、新安全威脅不斷涌現(xiàn)、網(wǎng)絡(luò)邊界逐漸打破的今天，IPS能否延續(xù)過去的風(fēng)光？新一代IPS產(chǎn)品（技術(shù)）將如何發(fā)展？

人工智能（AI）正滲入到生活的方方面面，還滲入到眾多安全工具中，其中包括IPS。AI大大解放了IPS，因?yàn)樗梢宰詣犹幚碓S多檢測步驟；能夠發(fā)現(xiàn)異常的網(wǎng)絡(luò)行為，并節(jié)省瀏覽日志的時間。

DNSFilter數(shù)據(jù)科學(xué)主管Adam Spotton表示，AI在網(wǎng)絡(luò)安全發(fā)揮著重要作用，因?yàn)樗劳性O(shè)計人員的專長，可以自動做出決策。然而，AI并非可以作為一種現(xiàn)成解決方案來輕松部署。企業(yè)需認(rèn)真考慮數(shù)據(jù)收集和訓(xùn)練過程的每一步，以便模型從實(shí)驗(yàn)室發(fā)布到實(shí)際環(huán)境后有效且可靠。這些考慮因素包括：敲定威脅識別問題、收集數(shù)據(jù)以便能夠訓(xùn)練數(shù)據(jù)、迭代測試及改進(jìn)，以及解釋發(fā)現(xiàn)的結(jié)果。

如果做法得當(dāng)，AI是一種強(qiáng)大的工具，不僅可以用來檢測現(xiàn)有威脅，還可以用來檢測不斷演變的新威脅。比如說，基于AI的威脅檢測表明，與傳統(tǒng)的手動靜態(tài)威脅源相比，它可以發(fā)現(xiàn)的威脅多出60%。IPS供應(yīng)商正逐漸將AI整合到其工具中。

正如IPS在整合更多的AI功能，現(xiàn)在一股愈演愈烈的趨勢是：IPS工具本身被整合到更龐大的綜合安全體系中。這也是安全行業(yè)整體的發(fā)展趨勢。供應(yīng)商不是為防病毒、反惡意軟件、垃圾郵件檢測、IPS、IDS等推出單獨(dú)的產(chǎn)品，而是將它們打包到更加體系化的整體解決方案中。

例如，安全信息和事件管理（SIEM）工具常常添加IPS功能。Paul Caiazzo是提供包含IPS功能SIEM托管服務(wù)的咨詢顧問，他表示，由于企業(yè)改用遠(yuǎn)程辦公環(huán)境造成了更多的網(wǎng)絡(luò)異常行為，許多企業(yè)需要優(yōu)化和調(diào)整SIEM平臺方面的專業(yè)知識，才能充分利用先進(jìn)功能。

鑒于勒索軟件已成為一大威脅，許多企業(yè)開始意識到必須部署工具以防止勒索軟件入侵。Caiazzo表示，攻擊的成本隨攻擊時間的增加而增加，因此盡快識別威脅符合企業(yè)的最佳利益，將得逞的勒索軟件攻擊影響降至最低，需要盡早檢測到攻擊。

作為勒索軟件防御和檢測套件而銷售的眾多工具含有IPS功能，綜合分析SIEM、IPS及其他系統(tǒng)提供的數(shù)據(jù)，可以識別潛在的攻擊途徑以免被利用，或者在早期階段識別隱蔽的攻擊，從而幫助企業(yè)搜尋威脅，比攻擊者搶先一步采取安全措施。

在傳統(tǒng)IPS工具應(yīng)用最廣泛的時期，部署在網(wǎng)絡(luò)邊界是其最主要的應(yīng)用形態(tài)。只要企業(yè)留意網(wǎng)絡(luò)邊緣，并防止任何威脅滲入，就可以確保安全。

這種應(yīng)用模式正在改變，許多企業(yè)使用以邊界為中心的網(wǎng)絡(luò)安全策略，該策略對網(wǎng)絡(luò)邊界內(nèi)部的潛在惡意流量幾乎毫無可見性或控制度，這是單層防御機(jī)制。這種單層防御機(jī)制最終可能成為安全策略的最大風(fēng)險點(diǎn)之一。

圍繞企業(yè)總部或數(shù)據(jù)中心的IPS功能仍然至關(guān)重要，但它需要得到一系列更廣泛功能的支持，以應(yīng)對日益遠(yuǎn)程和分散的邊界，因此縱深防御已成為新常態(tài)。縱深防御需要多層安全控制，以提高如果一層被擊敗，另一層可識別并阻止攻擊的可能性。

IPS過去安裝在本地，由內(nèi)部IT人員來維護(hù)和管理。這種模式仍有一定的市場。然而，當(dāng)前，云工具基本上占據(jù)了主導(dǎo)地位。擴(kuò)展檢測和響應(yīng)（XDR）套件提供廣泛的基于云的端點(diǎn)保護(hù)，并包括IPS功能。同時，傳統(tǒng)的IPS能力更容易被放到云端，從而更便捷地以服務(wù)化的形式提供給用戶。