保護(hù)企業(yè)的網(wǎng)絡(luò)關(guān)鍵是選擇可有效阻止攻擊以及補(bǔ)充現(xiàn)有安全控制的入侵檢測和防御系統(tǒng)(IDS/IPS)產(chǎn)品。

在確定購買IDS/IPS產(chǎn)品之前，企業(yè)應(yīng)該記住以下5個考慮因素。

1. 你有沒有做好功課?

在評估現(xiàn)有入侵檢測工具時，有著顯著的學(xué)習(xí)曲線。

你可以讓區(qū)域增值經(jīng)銷商(VAR)來幫助你聯(lián)系到他們的主題專家以及制造商的代表和獨(dú)立顧問。最好的增值經(jīng)銷商愿意為企業(yè)花時間，因為他們知道從長遠(yuǎn)來看這會給他們帶來回報。他們不想賣給你不合適的產(chǎn)品，并且他們希望帶來對其他項目的某種形式的商業(yè)回報。他們可以根據(jù)你企業(yè)的需求，幫助你確定你需要詢問供應(yīng)商的問題。

此外，基于你行業(yè)的合規(guī)監(jiān)管進(jìn)行的風(fēng)險評估可以幫助確定需要保護(hù)哪些資源以及何種程度。你需要確保你清楚地了解風(fēng)險情況和相關(guān)的指標(biāo)以幫助你進(jìn)行項目規(guī)劃。

在做出選擇時，你的選擇應(yīng)該基于解決企業(yè)風(fēng)險所需要的功能。你可以使用功能矩陣來比較競爭產(chǎn)品;這可以簡單地在文字處理表或電子表格中實現(xiàn)。根據(jù)選擇過程的不同，功能矩陣將包含針對必要功能的簡單的復(fù)選框(通過/不通過)，以及針對可選功能的可行性的加權(quán)數(shù)值范圍。

2. 你企業(yè)的網(wǎng)絡(luò)團(tuán)隊是否支持你的選擇?

IDS/IPS技術(shù)的部署最好需要企業(yè)網(wǎng)絡(luò)工作人員的積極參與。很多任務(wù)應(yīng)該由網(wǎng)絡(luò)專家來完成，例如配置網(wǎng)絡(luò)交換機(jī)SPAN端口或安裝網(wǎng)絡(luò)tap。由于IDS/IPS技術(shù)本質(zhì)上是突破性的技術(shù)，網(wǎng)絡(luò)人員必須了解這一技術(shù)的工作原理。

通過與網(wǎng)絡(luò)工作人員合作來確定監(jiān)測點(diǎn)，安全和網(wǎng)絡(luò)團(tuán)隊都可以更好地了解什么樣的流量需要進(jìn)行檢測。網(wǎng)絡(luò)人員可以幫助確定是否需要專門設(shè)備(例如負(fù)載均衡器或網(wǎng)絡(luò)聚合器)來幫助檢測網(wǎng)絡(luò)攻擊，同時保持網(wǎng)絡(luò)的高可用性。

3. 你的項目計劃是否從成本角度考慮替代產(chǎn)品?

網(wǎng)絡(luò)速度也將影響可部署的IDS/IPS傳感器的數(shù)量。一般來說，網(wǎng)絡(luò)段越快，傳感器越昂貴。在現(xiàn)在的市場上，10GB傳感器比1GB傳感器要貴三到四倍。

為了解決這個問題，企業(yè)可以采用多種方法;第一種方法是采用分階段部署，分?jǐn)傎Y本支出到多年時間里。另一種方法是使用網(wǎng)絡(luò)聚合技術(shù)，以允許單個IDS傳感器來監(jiān)控多個網(wǎng)絡(luò)段。還有一種方法是使用已部署的統(tǒng)一威脅管理(UTM)防火墻中的IPS功能來監(jiān)控一些網(wǎng)絡(luò)段。最后，如果企業(yè)擁有良好的開源技術(shù)，Snort IDS傳感器可以部署在現(xiàn)有硬件來覆蓋低風(fēng)險領(lǐng)域—這是商業(yè)IDS/IPS產(chǎn)品不會解決的領(lǐng)域。

4. 你的項目是否解決了無線威脅?

網(wǎng)絡(luò)和安全團(tuán)隊還需要確定是否需要獨(dú)立的無線IDS/IPS傳感器或者預(yù)選系統(tǒng)是否可以解決無線安全問題。有些無線接入點(diǎn)控制器具有內(nèi)置IDS/IPS功能，所以只要簡單地在現(xiàn)有設(shè)備中啟用該功能即可。

這兩種技術(shù)屬于互補(bǔ)技術(shù)，無線IDS/IPS傳感器主要尋找偽造的MAC地址和惡意接入點(diǎn)，而傳統(tǒng)的IDS/IPS技術(shù)能夠解決很多其他形式的基于網(wǎng)絡(luò)的攻擊。在檢測使用企業(yè)接入點(diǎn)的私人擁有的移動設(shè)備中的惡意活動時，這特別有用。

5. 你的項目是否解決了如何管理安全事件的問題?

企業(yè)必須認(rèn)識到，IDS/IPS傳感器都需要專門的培訓(xùn)才能操作。企業(yè)必須對傳感器進(jìn)行適當(dāng)調(diào)整以消除誤報，警報也必須與實際威脅相關(guān)。安全人員必須經(jīng)過培訓(xùn)才能對報告的事件進(jìn)行攔截和采取行動。

企業(yè)會檢測到大量事件(即使是在經(jīng)過適當(dāng)調(diào)整的傳感器)，這意味著必須采用某些方法來關(guān)聯(lián)和整合多個IDS/IPS事件。很多IDS/IPS產(chǎn)品提供某種類型的管理服務(wù)器和控制臺，但最好使用安全事故和事件管理(SIEM)平臺來解釋這些事件。SIEM非常適用于關(guān)聯(lián)IDS/IPS事件與來自單獨(dú)安全技術(shù)的事件，例如UTM、端點(diǎn)主機(jī)IDS和端點(diǎn)反惡意軟件。

除了培訓(xùn)成本和SIEM系統(tǒng)的成本，自動網(wǎng)絡(luò)攻擊的持續(xù)性質(zhì)意味著企業(yè)在任何時候都可能遭受攻擊，因此在項目規(guī)劃中必須解決人手問題。托管安全服務(wù)提供商(MSSP)可以提供全天候服務(wù)，在做出選擇前企業(yè)需要了解MSSP的范圍以及預(yù)期的職責(zé)。另一個需要考慮的因素是，MSSP可以提供基本的事件識別，而企業(yè)的內(nèi)部專家可以處理事件調(diào)查和修復(fù)，從而擴(kuò)展企業(yè)安全人員的能力。

另外，MSSP的缺點(diǎn)包括依賴于打包報告，這不符合企業(yè)的需求，也沒有很好地了解企業(yè)的基礎(chǔ)設(shè)施和IT服務(wù)。不過，通過確保MSSP提供相關(guān)的報告以及MSSP充分了解了企業(yè)的網(wǎng)絡(luò)和服務(wù)情況，企業(yè)可以避免這個問題。

結(jié)論

內(nèi)部專家和企業(yè)高管投入資金和勞動力的意愿最終將幫助確定最適合企業(yè)的產(chǎn)品。這需要全面了解企業(yè)試圖解決的風(fēng)險，以及企業(yè)網(wǎng)絡(luò)和現(xiàn)有的安全控制。

成功的項目規(guī)劃和部署將需要業(yè)務(wù)部門和IT部門關(guān)鍵人員的支持。這將會給你的網(wǎng)絡(luò)帶來前所未有的結(jié)果，為你提供可見性來進(jìn)一步了解安全控制的有效性，并幫助發(fā)現(xiàn)和迅速修復(fù)未知安全問題。

正確部署的入侵檢測和防御系統(tǒng)技術(shù)真正能夠為企業(yè)帶來光明。