企业如何评估入侵检测工具?

保护企业的网络关键是选择可有效阻止攻击以及补充现有安全控制的入侵检测和防御系统(IDS/IPS)产品。

在确定购买IDS/IPS产品之前，企业应该记住以下5个考虑因素。

1. 你有没有做好功课?

在评估现有入侵检测工具时，有着显著的学习曲线。

你可以让区域增值经销商(VAR)来帮助你联系到他们的主题专家以及制造商的代表和独立顾问。最好的增值经销商愿意为企业花时间，因为他们知道从长远来看这会给他们带来回报。他们不想卖给你不合适的产品，并且他们希望带来对其他项目的某种形式的商业回报。他们可以根据你企业的需求，帮助你确定你需要询问供应商的问题。

此外，基于你行业的合规监管进行的风险评估可以帮助确定需要保护哪些资源以及何种程度。你需要确保你清楚地了解风险情况和相关的指标以帮助你进行项目规划。

在做出选择时，你的选择应该基于解决企业风险所需要的功能。你可以使用功能矩阵来比较竞争产品;这可以简单地在文字处理表或电子表格中实现。根据选择过程的不同，功能矩阵将包含针对必要功能的简单的复选框(通过/不通过)，以及针对可选功能的可行性的加权数值范围。

2. 你企业的网络团队是否支持你的选择?

IDS/IPS技术的部署最好需要企业网络工作人员的积极参与。很多任务应该由网络专家来完成，例如配置网络交换机SPAN端口或安装网络tap。由于IDS/IPS技术本质上是突破性的技术，网络人员必须了解这一技术的工作原理。

通过与网络工作人员合作来确定监测点，安全和网络团队都可以更好地了解什么样的流量需要进行检测。网络人员可以帮助确定是否需要专门设备(例如负载均衡器或网络聚合器)来帮助检测网络攻击，同时保持网络的高可用性。

3. 你的项目计划是否从成本角度考虑替代产品?

网络速度也将影响可部署的IDS/IPS传感器的数量。一般来说，网络段越快，传感器越昂贵。在现在的市场上，10GB传感器比1GB传感器要贵三到四倍。

为了解决这个问题，企业可以采用多种方法;第一种方法是采用分阶段部署，分摊资本支出到多年时间里。另一种方法是使用网络聚合技术，以允许单个IDS传感器来监控多个网络段。还有一种方法是使用已部署的统一威胁管理(UTM)防火墙中的IPS功能来监控一些网络段。最后，如果企业拥有良好的开源技术，Snort IDS传感器可以部署在现有硬件来覆盖低风险领域—这是商业IDS/IPS产品不会解决的领域。

4. 你的项目是否解决了无线威胁?

网络和安全团队还需要确定是否需要独立的无线IDS/IPS传感器或者预选系统是否可以解决无线安全问题。有些无线接入点控制器具有内置IDS/IPS功能，所以只要简单地在现有设备中启用该功能即可。

这两种技术属于互补技术，无线IDS/IPS传感器主要寻找伪造的MAC地址和恶意接入点，而传统的IDS/IPS技术能够解决很多其他形式的基于网络的攻击。在检测使用企业接入点的私人拥有的移动设备中的恶意活动时，这特别有用。

5. 你的项目是否解决了如何管理安全事件的问题?

企业必须认识到，IDS/IPS传感器都需要专门的培训才能操作。企业必须对传感器进行适当调整以消除误报，警报也必须与实际威胁相关。安全人员必须经过培训才能对报告的事件进行拦截和采取行动。

企业会检测到大量事件(即使是在经过适当调整的传感器)，这意味着必须采用某些方法来关联和整合多个IDS/IPS事件。很多IDS/IPS产品提供某种类型的管理服务器和控制台，但最好使用安全事故和事件管理(SIEM)平台来解释这些事件。SIEM非常适用于关联IDS/IPS事件与来自单独安全技术的事件，例如UTM、端点主机IDS和端点反恶意软件。

除了培训成本和SIEM系统的成本，自动网络攻击的持续性质意味着企业在任何时候都可能遭受攻击，因此在项目规划中必须解决人手问题。托管安全服务提供商(MSSP)可以提供全天候服务，在做出选择前企业需要了解MSSP的范围以及预期的职责。另一个需要考虑的因素是，MSSP可以提供基本的事件识别，而企业的内部专家可以处理事件调查和修复，从而扩展企业安全人员的能力。

另外，MSSP的缺点包括依赖于打包报告，这不符合企业的需求，也没有很好地了解企业的基础设施和IT服务。不过，通过确保MSSP提供相关的报告以及MSSP充分了解了企业的网络和服务情况，企业可以避免这个问题。

结论

内部专家和企业高管投入资金和劳动力的意愿最终将帮助确定最适合企业的产品。这需要全面了解企业试图解决的风险，以及企业网络和现有的安全控制。

成功的项目规划和部署将需要业务部门和IT部门关键人员的支持。这将会给你的网络带来前所未有的结果，为你提供可见性来进一步了解安全控制的有效性，并帮助发现和迅速修复未知安全问题。

正确部署的入侵检测和防御系统技术真正能够为企业带来光明。