Развитие IPS

Тут сначала был пост про StoneSoft, но после сделанных уточнений - подправляю. Пусть пост будет вообще про всех и про ISS и про Cisco и про других :)

То, что IPS не развиваются в плане анализа протоколов - вот это реальный промах вендоров. Решения DPI могут отличить уже 1400 протоколов в трафике, причем появились они совершенно недавно. А ведь после того, как ты понимаешь какие у тебя протоколы (кроме TCP и UDP) ты можешь начинать управлять ими: блокировать, управлять полосой (QoS), перенаправлять, чистить от ненужного трафика. И это уже и firewall и IPS и QoS и фильтр приложений (понимает URL или спам или вирусы) одновременно и все на базе одной технологии - анализ протоколов. Пока об этом догадалась компания Palo Alto.

То что у многих IPS совершенно невозможно работать с сгенеренными ими событиями - это еще один промах. Возможно грамотные SIEM спасают таких вендоров, но когда ты не можешь нормально расследовать инцидент, желание пользоваться таким IPS отпадает.