保護企業(yè)的網(wǎng)絡關鍵是選擇可有效阻止攻擊以及補充現(xiàn)有安全控制的入侵檢測和防御系統(tǒng)(IDS/IPS)產(chǎn)品。

在確定購買IDS/IPS產(chǎn)品之前，企業(yè)應該記住以下5個考慮因素。

1. 你有沒有做好功課?

在評估現(xiàn)有入侵檢測工具時，有著顯著的學習曲線。

你可以讓區(qū)域增值經(jīng)銷商(VAR)來幫助你聯(lián)系到他們的主題專家以及制造商的代表和獨立顧問。最好的增值經(jīng)銷商愿意為企業(yè)花時間，因為他們知道從長遠來看這會給他們帶來回報。他們不想賣給你不合適的產(chǎn)品，并且他們希望帶來對其他項目的某種形式的商業(yè)回報。他們可以根據(jù)你企業(yè)的需求，幫助你確定你需要詢問供應商的問題。

此外，基于你行業(yè)的合規(guī)監(jiān)管進行的風險評估可以幫助確定需要保護哪些資源以及何種程度。你需要確保你清楚地了解風險情況和相關的指標以幫助你進行項目規(guī)劃。

在做出選擇時，你的選擇應該基于解決企業(yè)風險所需要的功能。你可以使用功能矩陣來比較競爭產(chǎn)品;這可以簡單地在文字處理表或電子表格中實現(xiàn)。根據(jù)選擇過程的不同，功能矩陣將包含針對必要功能的簡單的復選框(通過/不通過)，以及針對可選功能的可行性的加權數(shù)值范圍。

2. 你企業(yè)的網(wǎng)絡團隊是否支持你的選擇?

IDS/IPS技術的部署最好需要企業(yè)網(wǎng)絡工作人員的積極參與。很多任務應該由網(wǎng)絡專家來完成，例如配置網(wǎng)絡交換機SPAN端口或安裝網(wǎng)絡tap。由于IDS/IPS技術本質上是突破性的技術，網(wǎng)絡人員必須了解這一技術的工作原理。

通過與網(wǎng)絡工作人員合作來確定監(jiān)測點，安全和網(wǎng)絡團隊都可以更好地了解什么樣的流量需要進行檢測。網(wǎng)絡人員可以幫助確定是否需要專門設備(例如負載均衡器或網(wǎng)絡聚合器)來幫助檢測網(wǎng)絡攻擊，同時保持網(wǎng)絡的高可用性。

3. 你的項目計劃是否從成本角度考慮替代產(chǎn)品?

網(wǎng)絡速度也將影響可部署的IDS/IPS傳感器的數(shù)量。一般來說，網(wǎng)絡段越快，傳感器越昂貴。在現(xiàn)在的市場上，10GB傳感器比1GB傳感器要貴三到四倍。

為了解決這個問題，企業(yè)可以采用多種方法;第一種方法是采用分階段部署，分攤資本支出到多年時間里。另一種方法是使用網(wǎng)絡聚合技術，以允許單個IDS傳感器來監(jiān)控多個網(wǎng)絡段。還有一種方法是使用已部署的統(tǒng)一威脅管理(UTM)防火墻中的IPS功能來監(jiān)控一些網(wǎng)絡段。最后，如果企業(yè)擁有良好的開源技術，Snort IDS傳感器可以部署在現(xiàn)有硬件來覆蓋低風險領域—這是商業(yè)IDS/IPS產(chǎn)品不會解決的領域。

4. 你的項目是否解決了無線威脅?

網(wǎng)絡和安全團隊還需要確定是否需要獨立的無線IDS/IPS傳感器或者預選系統(tǒng)是否可以解決無線安全問題。有些無線接入點控制器具有內(nèi)置IDS/IPS功能，所以只要簡單地在現(xiàn)有設備中啟用該功能即可。

這兩種技術屬于互補技術，無線IDS/IPS傳感器主要尋找偽造的MAC地址和惡意接入點，而傳統(tǒng)的IDS/IPS技術能夠解決很多其他形式的基于網(wǎng)絡的攻擊。在檢測使用企業(yè)接入點的私人擁有的移動設備中的惡意活動時，這特別有用。

5. 你的項目是否解決了如何管理安全事件的問題?

企業(yè)必須認識到，IDS/IPS傳感器都需要專門的培訓才能操作。企業(yè)必須對傳感器進行適當調(diào)整以消除誤報，警報也必須與實際威脅相關。安全人員必須經(jīng)過培訓才能對報告的事件進行攔截和采取行動。

企業(yè)會檢測到大量事件(即使是在經(jīng)過適當調(diào)整的傳感器)，這意味著必須采用某些方法來關聯(lián)和整合多個IDS/IPS事件。很多IDS/IPS產(chǎn)品提供某種類型的管理服務器和控制臺，但最好使用安全事故和事件管理(SIEM)平臺來解釋這些事件。SIEM非常適用于關聯(lián)IDS/IPS事件與來自單獨安全技術的事件，例如UTM、端點主機IDS和端點反惡意軟件。

除了培訓成本和SIEM系統(tǒng)的成本，自動網(wǎng)絡攻擊的持續(xù)性質意味著企業(yè)在任何時候都可能遭受攻擊，因此在項目規(guī)劃中必須解決人手問題。托管安全服務提供商(MSSP)可以提供全天候服務，在做出選擇前企業(yè)需要了解MSSP的范圍以及預期的職責。另一個需要考慮的因素是，MSSP可以提供基本的事件識別，而企業(yè)的內(nèi)部專家可以處理事件調(diào)查和修復，從而擴展企業(yè)安全人員的能力。

另外，MSSP的缺點包括依賴于打包報告，這不符合企業(yè)的需求，也沒有很好地了解企業(yè)的基礎設施和IT服務。不過，通過確保MSSP提供相關的報告以及MSSP充分了解了企業(yè)的網(wǎng)絡和服務情況，企業(yè)可以避免這個問題。

結論

內(nèi)部專家和企業(yè)高管投入資金和勞動力的意愿最終將幫助確定最適合企業(yè)的產(chǎn)品。這需要全面了解企業(yè)試圖解決的風險，以及企業(yè)網(wǎng)絡和現(xiàn)有的安全控制。

成功的項目規(guī)劃和部署將需要業(yè)務部門和IT部門關鍵人員的支持。這將會給你的網(wǎng)絡帶來前所未有的結果，為你提供可見性來進一步了解安全控制的有效性，并幫助發(fā)現(xiàn)和迅速修復未知安全問題。

正確部署的入侵檢測和防御系統(tǒng)技術真正能夠為企業(yè)帶來光明。