一旦網(wǎng)絡(luò)入侵活動發(fā)生且不能阻止，企業(yè)應(yīng)該希望能夠第一時間得到告警。在進行傳統(tǒng)、內(nèi)部安全思維轉(zhuǎn)變時，行之有效的現(xiàn)代安全解決方案應(yīng)該是怎樣的形態(tài)?

安全檢測

我國從被動防御轉(zhuǎn)變到主動防御，單純的“預(yù)防”已經(jīng)遠遠不夠，主動出擊，進行檢測工作是后續(xù)安全工作的重中之重。

下圖包含入侵檢測體系中的五大關(guān)鍵組成部分。在考量解決方案投資時，應(yīng)從技術(shù)角度確保其涵蓋全部要求：

在上述核心功能之外，以下七項要求亦必須得到滿足。

1.  實現(xiàn)SecOps

盡管SecOps一再被提及，但這種思維要具體落實卻并非易事。SecOps還需要被真正引入開發(fā)、運營與安全保障體系。因此在選擇入侵檢測平臺時，應(yīng)將安全性與DevOps相結(jié)合，從而節(jié)約時間、提升效率以改善整體安全狀況。

2. 支持復(fù)雜環(huán)境

出于種種考量，云環(huán)境往往只能作為企業(yè)的運行平臺選項之一。云、多云(Multi-Cloud，即企業(yè)將多個應(yīng)用部署在多個云平臺上)、混合云(Hybrid Cloud，包含私有云、公有云)、內(nèi)部與容器環(huán)境的雜糅才是趨勢所在。為了保護這類復(fù)雜環(huán)境，需要保證安全性、合規(guī)性的始終可見性。因此在選擇入侵檢測方案時，應(yīng)確保其能夠在復(fù)雜環(huán)境中提供必要的可見性保障。

3. 多種檢測模式

當(dāng)前，各種網(wǎng)絡(luò)連接方式錯綜復(fù)雜，已沒有明顯的網(wǎng)絡(luò)監(jiān)控邊界，這就需要結(jié)合多種檢測模式以發(fā)現(xiàn)所有可能出現(xiàn)的威脅因素，具體包括檢測主機上的行為、云配置審查、安全漏洞、文件完整性以及威脅情報等等。正因為如此，我們的入侵檢測方案必須有能夠?qū)崿F(xiàn)這些目標(biāo)。

4. 發(fā)現(xiàn)所有攻擊

除了檢測模式之外，理想的入侵檢測平臺還需要有能力發(fā)現(xiàn)多種攻擊手段與攻擊點，包括發(fā)現(xiàn)內(nèi)部與外部威脅，并從初始檢測到發(fā)展再到載體轉(zhuǎn)換全程實現(xiàn)攻擊檢測。

5. 異常行為警報

異常行為是發(fā)現(xiàn)威脅的最好方式，且往往能夠搶在威脅造成實際危害之前將其扼制。強大的入侵檢測方案應(yīng)該能夠為環(huán)境設(shè)定正常標(biāo)準(zhǔn)并隨時間推移進行調(diào)整，從而持續(xù)實時檢測異常行為。這就便于調(diào)查異常行為，并判斷其屬于正常狀況抑或代表著不斷演變的威脅活動。

6. 提供統(tǒng)一數(shù)據(jù)

安全事件響應(yīng)能力高度依賴于實際數(shù)據(jù)收集能力。如果使用多點解決方案，必然面臨碎片化數(shù)據(jù)點問題，而這會增加平均解析時間(簡稱MTTR)。企業(yè)的目標(biāo)在于保持低MTTR，因此必然要求能夠統(tǒng)一數(shù)據(jù)，從而通過入侵檢測解決方案提供面向基礎(chǔ)設(shè)施與其中所有活動的全面觀察視角。

7. 保持合規(guī)性

最后，PCI DSS、HIPAA以及SOC 2等主要合規(guī)性標(biāo)準(zhǔn)亦應(yīng)得到充分滿足。某些平臺因為無法提供必要的控制、監(jiān)控與可審計性而無法真正支持上述合規(guī)性框架，選擇入侵檢測平臺時需仔細甄別。

總結(jié)來講，以上七條要求的最終目標(biāo)都是為了隨時間推移降低安全風(fēng)險。企業(yè)具備的可見能力越強，警報越迅速，持續(xù)監(jiān)控手段越充分，整體風(fēng)險自然也就越合理。因此，現(xiàn)代入侵檢測平臺有助于隨時間推移降低風(fēng)險