如何才能知道你的企業(yè)有沒有被入侵呢？實際上，這是個很簡單的問題，人們的回答往往是你需要某種程度的事件檢測能力。

盡管網(wǎng)絡(luò)入侵檢測技術(shù)取得了重大進(jìn)展，但是許多企業(yè)還是落在了時代的后面，沒能建立起強(qiáng)有力的檢測功能來識別真正具有威脅的事件。網(wǎng)絡(luò)入侵檢測不僅僅是一個技術(shù)工具集，它還具有一些復(fù)雜的功能，其中包括明確定義的技術(shù)領(lǐng)域以及過程領(lǐng)域，這需要由稱職的人員來管理。任何一個領(lǐng)域出現(xiàn)紕漏都會嚴(yán)重削弱檢測的效果。

不幸的是，許多企業(yè)并沒有把網(wǎng)絡(luò)入侵檢測看成是一種戰(zhàn)略上的安全能力，這導(dǎo)致企業(yè)所做的努力僅僅局限于部署基于網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)傳感器的簽名，跟蹤那些明顯、簡單和那些通常不具威脅性的活動(如端口掃描)。你可能還需要跟蹤端口掃描來查清對獲悉你的資產(chǎn)配置感興趣的人，但這些簡單的、開箱即用的網(wǎng)絡(luò)入侵檢測技術(shù)對于現(xiàn)在的威脅來說其檢測能力并不強(qiáng)大。另外，許多公司沒有足夠的分析能力去分析多點數(shù)據(jù)之間的關(guān)系，從而無法檢測出廣泛的攻擊類型或者復(fù)雜的攻擊，盡管市面上有很多解決這些問題的技術(shù)。

有些企業(yè)選擇把網(wǎng)絡(luò)入侵檢測設(shè)備的管理外包給別的公司。然而，許多企業(yè)忽略了那些由服務(wù)提供商返回的數(shù)據(jù)，只是一味自豪地忙著把他們的服務(wù)合同給監(jiān)管人員以及審計人員看，好像合同就是企業(yè)檢測能力的證據(jù)一樣。雖然，這樣的合同似乎滿足了許多監(jiān)管人員以及審計人員的要求，但是企業(yè)不應(yīng)該把審計人員簽發(fā)的規(guī)則遵從聲明看成是企業(yè)安全實力的證明。

脆弱的網(wǎng)絡(luò)入侵檢測能力會帶來多重問題。很明顯，這些問題會導(dǎo)致企業(yè)不斷遭到網(wǎng)絡(luò)入侵者的破壞、造成重大的信息損失，可能還會影響計算資源的可用性。另一個問題是，在發(fā)現(xiàn)公司被入侵之后，無法進(jìn)行適當(dāng)?shù)陌踩∽C調(diào)查。而強(qiáng)有力的檢測技術(shù)一般都能夠提供一些有用的機(jī)制來捕獲歷史數(shù)據(jù)，這有利于事件發(fā)生后的分析工作;分析結(jié)果也可以以指標(biāo)的形式組合起來，從而有利于控制方面的改進(jìn)。與入侵事件相關(guān)的稀少數(shù)據(jù)還可以減少不必要的民事以及刑事案件，這是企業(yè)希望看見的。相反，不具備強(qiáng)有力的網(wǎng)絡(luò)入侵檢測能力則表明技術(shù)管理層面存在著疏忽，進(jìn)而表明企業(yè)沒有履行“應(yīng)盡的責(zé)任”。

建立有效的網(wǎng)絡(luò)入侵檢測能力需要建立一個綜合的架構(gòu)，其中包括能夠真正檢測出威脅企業(yè)財產(chǎn)活動的技術(shù)以及過程。它不僅包括技術(shù)架構(gòu)，比如入侵檢測與防護(hù)以及安全信息和事件管理系統(tǒng)，而且還需要支持監(jiān)督活動。如果沒有足夠的操作監(jiān)控以及響應(yīng)過程，那么用于檢測資產(chǎn)威脅的技術(shù)工具集就起不到應(yīng)有的作用，即使企業(yè)這么做是出于對入侵檢測設(shè)計的重視。

定期的網(wǎng)絡(luò)入侵檢測測試有時會被曲解成一種有效的檢測能力測試。但是，那些測試檢測架構(gòu)有效性的技術(shù)(如滲透測試)只有跟相應(yīng)的響應(yīng)操作結(jié)合起來才能發(fā)揮作用。響應(yīng)操作能夠評估技術(shù)檢測方面(IDS識別這個測試攻擊嗎？)以及適當(dāng)防護(hù)方面(IDS的所有者注意到自動警報了嗎？他們采取了適當(dāng)?shù)膽?yīng)對行動嗎？)的成功程度。我在安全評估過程中使用過一種方法是利用持續(xù)增加嚴(yán)重程度來進(jìn)行測試。換句話說，我們在敲門時逐次增加敲擊的力度，然后去觀察：(a)敲擊被發(fā)現(xiàn)的時刻以及(b)與攻擊類型相關(guān)的響應(yīng)操作的適當(dāng)性。這種測試方法支持對整體檢測效果的評估。

企業(yè)在安全的多個領(lǐng)域中有一個非常明確的選擇，我們可以把它歸結(jié)為一個非?；镜母拍睿浩髽I(yè)的安全目標(biāo)是為了滿足審計人員呢，還是用來真正識別過程中的威脅以便更好的保護(hù)信息？那些采取最低限度做法(比如訂購管理質(zhì)量差的檢測服務(wù)，不具備設(shè)計適當(dāng)?shù)膬?nèi)部數(shù)據(jù)管理程序)的企業(yè)，要么是在跟他們自己開玩笑，要么是在跟他們的監(jiān)管人員開玩笑，要么這兩種情況都有。

【編輯推薦】

1. 假想案例談?wù)揑PS系統(tǒng)部署
2. 如何實現(xiàn)IPS系統(tǒng)深度檢測
3. 如何在Linux下實現(xiàn)入侵檢測IDS
4. 零距離接觸入侵防御IPS系統(tǒng)
5. IPS技術(shù)發(fā)展中的三塊絆腳石