该领域的参与者越来越多,包括F-Secure(SENSE), BitDefender BOX以及其他许多产品。
我想知道这些盒在技术上是如何工作的,它们之间是否有开放源代码?
它们是否像传统IDS / IPS /防火墙,我敢肯定有很多区别,并且“云支持”就是其中之一,还有其他区别吗?
#1 楼
这些框是入侵防御系统(IPSs),它们通过监视“威胁指示器”(IoC)来工作。这将是您环境中意外的网络流量。到达已知错误目的地的网络流量;或包含与恶意软件一致的数据包的网络流量。通常,这些盒子带有订阅。出售它们的公司会(每天或更频繁地)发出频繁的更新,以刷新IoC数据库。如果他们发现某些勒索软件可访问https://ransom.keyserver.evil.example.com,则他们可能会立即将网络地址添加到IPS黑名单中,并尽快将其发布给客户。如果您的网络上有一台试图连接以获取勒索软件密钥的设备,则其IPS将断开连接,以免受到感染。设备清单。您可以看一下当今网络上所有的小物联网事物,并祝福它们。明天,如果它检测到您的网络上有一个新节点,它将在您的手机上弹出警告,提示“网络上检测到新事物,请授权(是/否)?”。这可能会帮助您阻止某人借用您的wifi或入侵您的网络。
所有这些功能都没有直接的开源替代品。并不是因为技术如此特殊,而是因为IoC数据库的不断更新需要人类不断收集应对新事件的intel,而向一群人类付费是昂贵的。您可以使用Snort之类的开源IPS系统来实现某些功能,但是Snort的“社区”订阅将在其商业订阅后30天更新。当当今常见的威胁包括基于0天的恶意软件时,这相当慢。
评论
我不确定这是否真的是物联网问题。它可能更适合特定于网络的组之一感谢@hardillb,但我确实相信这个问题非常针对物联网,因为物联网网络的特殊性促使安全研究人员重新考虑和重建新的,更智能的外围安全解决方案
无论如何..如果我在这里没有得到答案,我该怎么办?有没有办法将这个问题直接链接到“信息安全”组,或者我只是在那儿重新询问..我可以这样做吗?
主持人可以在认为合适的情况下将其移动,也可以将其删除,然后在正确的网站上提问。我仍然认为这不是主题,因为您正在询问这些IDS系统如何工作,这是一个非常具体的网络问题。
许多问题一次在一个以上的站点上都有效-我认为这对于这种类型的产品(实际上是定义)来说是通用的,而不是信息安全中可能涵盖的深入操作细节,在这里很好..