如何才能知道你的企業(yè)有沒有被入侵呢？實(shí)際上，這是個(gè)很簡(jiǎn)單的問題，人們的回答往往是你需要某種程度的事件檢測(cè)能力。

盡管網(wǎng)絡(luò)入侵檢測(cè)技術(shù)取得了重大進(jìn)展，但是許多企業(yè)還是落在了時(shí)代的后面，沒能建立起強(qiáng)有力的檢測(cè)功能來識(shí)別真正具有威脅的事件。網(wǎng)絡(luò)入侵檢測(cè)不僅僅是一個(gè)技術(shù)工具集，它還具有一些復(fù)雜的功能，其中包括明確定義的技術(shù)領(lǐng)域以及過程領(lǐng)域，這需要由稱職的人員來管理。任何一個(gè)領(lǐng)域出現(xiàn)紕漏都會(huì)嚴(yán)重削弱檢測(cè)的效果。

不幸的是，許多企業(yè)并沒有把網(wǎng)絡(luò)入侵檢測(cè)看成是一種戰(zhàn)略上的安全能力，這導(dǎo)致企業(yè)所做的努力僅僅局限于部署基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)傳感器的簽名，跟蹤那些明顯、簡(jiǎn)單和那些通常不具威脅性的活動(dòng)(如端口掃描)。你可能還需要跟蹤端口掃描來查清對(duì)獲悉你的資產(chǎn)配置感興趣的人，但這些簡(jiǎn)單的、開箱即用的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)對(duì)于現(xiàn)在的威脅來說其檢測(cè)能力并不強(qiáng)大。另外，許多公司沒有足夠的分析能力去分析多點(diǎn)數(shù)據(jù)之間的關(guān)系，從而無法檢測(cè)出廣泛的攻擊類型或者復(fù)雜的攻擊，盡管市面上有很多解決這些問題的技術(shù)。

有些企業(yè)選擇把網(wǎng)絡(luò)入侵檢測(cè)設(shè)備的管理外包給別的公司。然而，許多企業(yè)忽略了那些由服務(wù)提供商返回的數(shù)據(jù)，只是一味自豪地忙著把他們的服務(wù)合同給監(jiān)管人員以及審計(jì)人員看，好像合同就是企業(yè)檢測(cè)能力的證據(jù)一樣。雖然，這樣的合同似乎滿足了許多監(jiān)管人員以及審計(jì)人員的要求，但是企業(yè)不應(yīng)該把審計(jì)人員簽發(fā)的規(guī)則遵從聲明看成是企業(yè)安全實(shí)力的證明。

脆弱的網(wǎng)絡(luò)入侵檢測(cè)能力會(huì)帶來多重問題。很明顯，這些問題會(huì)導(dǎo)致企業(yè)不斷遭到網(wǎng)絡(luò)入侵者的破壞、造成重大的信息損失，可能還會(huì)影響計(jì)算資源的可用性。另一個(gè)問題是，在發(fā)現(xiàn)公司被入侵之后，無法進(jìn)行適當(dāng)?shù)陌踩∽C調(diào)查。而強(qiáng)有力的檢測(cè)技術(shù)一般都能夠提供一些有用的機(jī)制來捕獲歷史數(shù)據(jù)，這有利于事件發(fā)生后的分析工作;分析結(jié)果也可以以指標(biāo)的形式組合起來，從而有利于控制方面的改進(jìn)。與入侵事件相關(guān)的稀少數(shù)據(jù)還可以減少不必要的民事以及刑事案件，這是企業(yè)希望看見的。相反，不具備強(qiáng)有力的網(wǎng)絡(luò)入侵檢測(cè)能力則表明技術(shù)管理層面存在著疏忽，進(jìn)而表明企業(yè)沒有履行“應(yīng)盡的責(zé)任”。

建立有效的網(wǎng)絡(luò)入侵檢測(cè)能力需要建立一個(gè)綜合的架構(gòu)，其中包括能夠真正檢測(cè)出威脅企業(yè)財(cái)產(chǎn)活動(dòng)的技術(shù)以及過程。它不僅包括技術(shù)架構(gòu)，比如入侵檢測(cè)與防護(hù)以及安全信息和事件管理系統(tǒng)，而且還需要支持監(jiān)督活動(dòng)。如果沒有足夠的操作監(jiān)控以及響應(yīng)過程，那么用于檢測(cè)資產(chǎn)威脅的技術(shù)工具集就起不到應(yīng)有的作用，即使企業(yè)這么做是出于對(duì)入侵檢測(cè)設(shè)計(jì)的重視。

定期的網(wǎng)絡(luò)入侵檢測(cè)測(cè)試有時(shí)會(huì)被曲解成一種有效的檢測(cè)能力測(cè)試。但是，那些測(cè)試檢測(cè)架構(gòu)有效性的技術(shù)(如滲透測(cè)試)只有跟相應(yīng)的響應(yīng)操作結(jié)合起來才能發(fā)揮作用。響應(yīng)操作能夠評(píng)估技術(shù)檢測(cè)方面(IDS識(shí)別這個(gè)測(cè)試攻擊嗎？)以及適當(dāng)防護(hù)方面(IDS的所有者注意到自動(dòng)警報(bào)了嗎？他們采取了適當(dāng)?shù)膽?yīng)對(duì)行動(dòng)嗎？)的成功程度。我在安全評(píng)估過程中使用過一種方法是利用持續(xù)增加嚴(yán)重程度來進(jìn)行測(cè)試。換句話說，我們?cè)谇瞄T時(shí)逐次增加敲擊的力度，然后去觀察：(a)敲擊被發(fā)現(xiàn)的時(shí)刻以及(b)與攻擊類型相關(guān)的響應(yīng)操作的適當(dāng)性。這種測(cè)試方法支持對(duì)整體檢測(cè)效果的評(píng)估。

企業(yè)在安全的多個(gè)領(lǐng)域中有一個(gè)非常明確的選擇，我們可以把它歸結(jié)為一個(gè)非常基本的概念：企業(yè)的安全目標(biāo)是為了滿足審計(jì)人員呢，還是用來真正識(shí)別過程中的威脅以便更好的保護(hù)信息？那些采取最低限度做法(比如訂購(gòu)管理質(zhì)量差的檢測(cè)服務(wù)，不具備設(shè)計(jì)適當(dāng)?shù)膬?nèi)部數(shù)據(jù)管理程序)的企業(yè)，要么是在跟他們自己開玩笑，要么是在跟他們的監(jiān)管人員開玩笑，要么這兩種情況都有。

【編輯推薦】

1. 假想案例談?wù)揑PS系統(tǒng)部署
2. 如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)
3. 如何在Linux下實(shí)現(xiàn)入侵檢測(cè)IDS
4. 零距離接觸入侵防御IPS系統(tǒng)
5. IPS技術(shù)發(fā)展中的三塊絆腳石