Firma badawcza przeprowadziła ankietę wśród 169 specjalistów, odpowiedzialnych za zarządzanie IPS w różnych organizacjach, aby sprawdzić czy w rzeczywistości wykorzystywana jest pełna funkcjonalność IPS - to znaczy filtrowanie ruchu w celu zablokowania ataków. Badania zamówione przez TippingPoint, dostawcę IPS, objęły zarówno produkty tej firmy jak i Cisco, IBM, McAfee i Sourcefire.

Cisco jest dominującym dostawcą IPS i badania to odzwierciedlają: respondenci to 77 użytkowników rozwiązań Cisco, 36 - TippingPoint, 36 - IBM ISS Proventia, 26 - McAfee i 15 - Sourcefire. Wszyscy użytkownicy dostarczyli szczegółowych opisów sposobu wykorzystania IPS w swoich organizacjach.

Zobacz również:

• IPS, OLED, mini-LED czy QLED - jaka matryca do pracy?

Pierwszym krokiem wdrożenia IPS jest zazwyczaj podjecie decyzji czy ma być on używany "w pasmie" czy "pozapasmowo" i według badań, 91 proc. użytkowników TippingPoint wybrało pierwszą opcję, w wypadku Cisco było to 70 proc. IBM i McAfee - 67 proc, a Sourcefire ok. 55 proc.

Najczęściej podawanymi powodami wybrania opcji "poza pasmem" były obawy o niezawodność, niedostateczną przepustowość, opóźnienia w ruchu i problem fałszywych rozpoznań, związane z opcją "in-band".

Dla wybierających opcję "in-band", kolejnym krokiem jest decyzja, które z dostępnych w urządzeniu filtrów ma być aktywowanych w celu blokowania różnych typów ruchu związanych z atakiem. Badania pokazały, że w tym wypadku często nie stosuje się wszystkich filtrów w trybie blokowania ataków, ale w prostszym trybie alarmowania. Filtry IPS do blokowania były stosowane dużo częściej w urządzeniach TippingPoint, a znacznie rzadziej w Sourcefire. W urządzeniach IBM, Cisco i McAfee blokowania i alarmy były aktywowane w proporcjach "pół na pół".

Według badań tylko od 40 do 70 proc. uaktualnień filtrów, oferowanych przez dostawców, jest stosowanych w urządzeniach. Według analityków wynik ten odzwierciedla praktyki użytkowników, którzy zazwyczaj testują uaktualnienie filtrów w warunkach laboratoryjnych zanim je wprowadzą. Czasami nowe sygnatury mogą zakłócą pracę pewnych aplikacji lub blokować protokoły i jest to powód ich pomijania.

Analitycy zauważają też, że rozwiązania TippingPoint są konstruowane z założeniem pracy w paśmie, ale już urządzenia Cisco - nie.

Głównym powodem unikania włączania pełnych filtrów jest, zdaniem analityków, problem wydajności tych urządzeń, które pracując w paśmie mogą opóźniać przepływ ruchu, a także problem fałszywych rozpoznań, który może prowadzić do blokowania ruchu legalnego.