如何才能知道你的企業(yè)有沒有被入侵呢？實際上，這是個很簡單的問題，人們的回答往往是你需要某種程度的事件檢測能力。然而，在一次網(wǎng)絡評估中，一位CIO苦笑著告訴我，如果他當初花費時間和金錢建立一個能真正工作的檢測架構，現(xiàn)在可能能證明企業(yè)存在著安全問題。但我認為他不完全是在開玩笑。

盡管檢測技術取得了重大進展，但是許多企業(yè)還是落在了時代的后面，沒能建立起強有力的檢測功能來識別真正具有威脅的事件。檢測不僅僅是一個技術工具集，它還具有一些復雜的功能，其中包括明確定義的技術領域以及過程領域，這需要由稱職的人員來管理。任何一個領域出現(xiàn)紕漏都會嚴重削弱檢測的效果。

不幸的是，許多企業(yè)并沒有把檢測看成是一種戰(zhàn)略上的安全能力，這導致企業(yè)所做的努力僅僅局限于部署基于網(wǎng)絡入侵系統(tǒng)（IDS）傳感器的簽名，跟蹤那些明顯、簡單和那些通常不具威脅性的活動（如端口掃描）。你可能還需要跟蹤端口掃描來查清對獲悉你的資產(chǎn)配置感興趣的人，但這些簡單的、開箱即用的IDS技術對于現(xiàn)在的威脅來說其檢測能力并不強大。另外，許多公司沒有足夠的分析能力去分析多點數(shù)據(jù)之間的關系，從而無法檢測出廣泛的攻擊類型或者復雜的攻擊，盡管市面上有很多解決這些問題的技術。

有些企業(yè)選擇把技術檢測設備的管理外包給別的公司。然而，許多企業(yè)忽略了那些由服務提供商返回的數(shù)據(jù)，只是一味自豪地忙著把他們的服務合同給監(jiān)管人員以及審計人員看，好像合同就是企業(yè)檢測能力的證據(jù)一樣。雖然，這樣的合同似乎滿足了許多監(jiān)管人員以及審計人員的要求，但是企業(yè)不應該把審計人員簽發(fā)的規(guī)則遵從聲明看成是企業(yè)安全實力的證明。

脆弱的檢測能力會帶來多重問題。很明顯，這些問題會導致企業(yè)不斷遭到網(wǎng)絡入侵者的破壞、造成重大的信息損失，可能還會影響計算資源的可用性。另一個問題是，在發(fā)現(xiàn)公司被入侵之后，無法進行適當?shù)陌踩∽C調(diào)查。而強有力的檢測技術一般都能夠提供一些有用的機制來捕獲歷史數(shù)據(jù)，這有利于事件發(fā)生后的分析工作；分析結(jié)果也可以以指標的形式組合起來，從而有利于控制方面的改進。與入侵事件相關的稀少數(shù)據(jù)還可以減少不必要的民事以及刑事案件，這是企業(yè)希望看見的。相反，不具備強有力的檢測能力則表明技術管理層面存在著疏忽，進而表明企業(yè)沒有履行“應盡的責任”。

建立有效的檢測能力需要建立一個綜合的架構，其中包括能夠真正檢測出威脅企業(yè)財產(chǎn)活動的技術以及過程。它不僅包括技術架構，比如入侵檢測與防護以及安全信息和事件管理系統(tǒng)，而且還需要支持監(jiān)督活動。如果沒有足夠的操作監(jiān)控以及響應過程，那么用于檢測資產(chǎn)威脅的技術工具集就起不到應有的作用，即使企業(yè)這么做是出于對入侵檢測設計的重視。

定期的網(wǎng)絡入侵測試有時會被曲解成一種有效的檢測能力測試。但是，那些測試檢測架構有效性的技術（如滲透測試）只有跟相應的響應操作結(jié)合起來才能發(fā)揮作用。響應操作能夠評估技術檢測方面（IDS識別這個測試攻擊嗎？）以及適當防護方面（IDS的所有者注意到自動警報了嗎？他們采取了適當?shù)膽獙π袆訂幔浚┑某晒Τ潭?。我在安全評估過程中使用過一種方法是利用持續(xù)增加嚴重程度來進行測試。換句話說，我們在敲門時逐次增加敲擊的力度，然后去觀察：（a）敲擊被發(fā)現(xiàn)的時刻以及（b）與攻擊類型相關的響應操作的適當性。這種測試方法支持對整體檢測效果的評估。

企業(yè)在安全的多個領域中有一個非常明確的選擇，我們可以把它歸結(jié)為一個非?；镜母拍睿浩髽I(yè)的安全目標是為了滿足審計人員呢，還是用來真正識別過程中的威脅以便更好的保護信息？那些采取最低限度做法（比如訂購管理質(zhì)量差的檢測服務，不具備設計適當?shù)膬?nèi)部數(shù)據(jù)管理程序）的企業(yè)，要么是在跟他們自己開玩笑，要么是在跟他們的監(jiān)管人員開玩笑，要么這兩種情況都有。

【編輯推薦】

1. 百毒不侵之身初識網(wǎng)絡入侵檢測系統(tǒng)
2. 分析入侵檢測系統(tǒng)漏洞認識黑客入侵手段