对企业来说基本的网络入侵检测系统够吗?

日期: 2010-05-13 作者:Paul Rohmeyer翻译:Sean 来源:TechTarget中国 英文

如何才能知道你的企业有没有被入侵呢?实际上,这是个很简单的问题,人们的回答往往是你需要某种程度的事件检测能力。然而,在一次网络评估中,一位CIO苦笑着告诉我,如果他当初花费时间和金钱建立一个能真正工作的检测架构,现在可能能证明企业存在着安全问题。但我认为他不完全是在开玩笑。   尽管检测技术取得了重大进展,但是许多企业还是落在了时代的后面,没能建立起强有力的检测功能来识别真正具有威胁的事件。

检测不仅仅是一个技术工具集,它还具有一些复杂的功能,其中包括明确定义的技术领域以及过程领域,这需要由称职的人员来管理。任何一个领域出现纰漏都会严重削弱检测的效果。   不幸的是,许多企业并没有把检测看成是一……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

如何才能知道你的企业有没有被入侵呢?实际上,这是个很简单的问题,人们的回答往往是你需要某种程度的事件检测能力。然而,在一次网络评估中,一位CIO苦笑着告诉我,如果他当初花费时间和金钱建立一个能真正工作的检测架构,现在可能能证明企业存在着安全问题。但我认为他不完全是在开玩笑。

  尽管检测技术取得了重大进展,但是许多企业还是落在了时代的后面,没能建立起强有力的检测功能来识别真正具有威胁的事件。检测不仅仅是一个技术工具集,它还具有一些复杂的功能,其中包括明确定义的技术领域以及过程领域,这需要由称职的人员来管理。任何一个领域出现纰漏都会严重削弱检测的效果。

  不幸的是,许多企业并没有把检测看成是一种战略上的安全能力,这导致企业所做的努力仅仅局限于部署基于网络入侵系统(IDS)传感器的签名,跟踪那些明显、简单和那些通常不具威胁性的活动(如端口扫描)。你可能还需要跟踪端口扫描来查清对获悉你的资产配置感兴趣的人,但这些简单的、开箱即用的IDS技术对于现在的威胁来说其检测能力并不强大。另外,许多公司没有足够的分析能力去分析多点数据之间的关系,从而无法检测出广泛的攻击类型或者复杂的攻击,尽管市面上有很多解决这些问题的技术。

  有些企业选择把技术检测设备的管理外包给别的公司。然而,许多企业忽略了那些由服务提供商返回的数据,只是一味自豪地忙着把他们的服务合同给监管人员以及审计人员看,好像合同就是企业检测能力的证据一样。虽然,这样的合同似乎满足了许多监管人员以及审计人员的要求,但是企业不应该把审计人员签发的规则遵从声明看成是企业安全实力的证明。

  脆弱的检测能力会带来多重问题。很明显,这些问题会导致企业不断遭到网络入侵者的破坏、造成重大的信息损失,可能还会影响计算资源的可用性。另一个问题是,在发现公司被入侵之后,无法进行适当的安全取证调查。而强有力的检测技术一般都能够提供一些有用的机制来捕获历史数据,这有利于事件发生后的分析工作;分析结果也可以以指标的形式组合起来,从而有利于控制方面的改进。与入侵事件相关的稀少数据还可以减少不必要的民事以及刑事案件,这是企业希望看见的。相反,不具备强有力的检测能力则表明技术管理层面存在着疏忽,进而表明企业没有履行“应尽的责任”。

  建立有效的检测能力需要建立一个综合的架构,其中包括能够真正检测出威胁企业财产活动的技术以及过程。它不仅包括技术架构,比如入侵检测与防护以及安全信息和事件管理系统,而且还需要支持监督活动。如果没有足够的操作监控以及响应过程,那么用于检测资产威胁的技术工具集就起不到应有的作用,即使企业这么做是出于对入侵检测设计的重视。

  定期的网络入侵测试有时会被曲解成一种有效的检测能力测试。但是,那些测试检测架构有效性的技术(如渗透测试)只有跟相应的响应操作结合起来才能发挥作用。响应操作能够评估技术检测方面(IDS识别这个测试攻击吗?)以及适当防护方面(IDS的所有者注意到自动警报了吗?他们采取了适当的应对行动吗?)的成功程度。我在安全评估过程中使用过一种方法是利用持续增加严重程度来进行测试。换句话说,我们在敲门时逐次增加敲击的力度,然后去观察:(a)敲击被发现的时刻以及(b)与攻击类型相关的响应操作的适当性。这种测试方法支持对整体检测效果的评估。

  企业在安全的多个领域中有一个非常明确的选择,我们可以把它归结为一个非常基本的概念:企业的安全目标是为了满足审计人员呢,还是用来真正识别过程中的威胁以便更好的保护信息?那些采取最低限度做法(比如订购管理质量差的检测服务,不具备设计适当的内部数据管理程序)的企业,要么是在跟他们自己开玩笑,要么是在跟他们的监管人员开玩笑,要么这两种情况都有。

翻译

Sean
Sean

相关推荐

  • 安全自动化是企业安全“一劳永逸”之法吗?

    有时候安全团队似乎过分依赖于“一劳永逸”的安全机制,而没有足够的安全专业人员提供人性化的分析和判断。在这方面,安全自动化的风险是什么?企业如何利用安全自动化的优势,而确保自己受到保护?

  • 企业安全防护:防御未知威胁的能力是关键

    网络威胁形势只会变得更为严峻,为了在资源有限的情况下最大程度的保护企业安全,部署能够防御未知威胁的产品是摆在企业面前一个重要的课题。

  • 雇佣前黑客:这是企业安全的解决之道吗?

    如今有些企业开始雇佣更多的黑客来帮助他们改善安全态势。虽然黑客拥有很高的技能,但这真的是好主意吗?这一战略的利弊是什么?真的有道德黑客吗?

  • 人工智能会让安全更好还是……

    尽管由狭义的AI进化到真正的人工智能还需要加以时日,但可以肯定的是,AI会让安全变得更简单,这对一直想解放人力物力财力去专注业务创新的企业们来讲无疑是值得雀跃并期待的。