接上阅读《企业如何评估入侵检测工具？（一）》

4. 你的项目是否解决了无线威胁？

网络和安全团队还需要确定是否需要独立的无线IDS/IPS传感器或者预选系统是否可以解决无线安全问题。有些无线接入点控制器具有内置IDS/IPS功能，所以只要简单地在现有设备中启用该功能即可。

这两种技术属于互补技术，无线IDS/IPS传感器主要寻找伪造的MAC地址和恶意接入点，而传统的IDS/IPS技术能够解决很多其他形式的基于网络的攻击。在检测使用企业接入点的私人拥有的移动设备中的恶意活动时，这特别有用。

5. 你的项目是否解决了如何管理安全事件的问题？

企业必须认识到，IDS/IPS传感器都需要专门的培训才能操作。企业必须对传感器进行适当调整以消除误报，警报也必须与实际威胁相关。安全人员必须经过培训才能对报告的事件进行拦截和采取行动。

企业会检测到大量事件（即使是在经过适当调整的传感器），这意味着必须采用某些方法来关联和整合多个IDS/IPS事件。很多IDS/IPS产品提供某种类型的管理服务器和控制台，但最好使用安全事故和事件管理（SIEM）平台来解释这些事件。SIEM非常适用于关联IDS/IPS事件与来自单独安全技术的事件，例如UTM、端点主机IDS和端点反恶意软件。

除了培训成本和SIEM系统的成本，自动网络攻击的持续性质意味着企业在任何时候都可能遭受攻击，因此在项目规划中必须解决人手问题。托管安全服务提供商（MSSP）可以提供全天候服务，在做出选择前企业需要了解MSSP的范围以及预期的职责。另一个需要考虑的因素是，MSSP可以提供基本的事件识别，而企业的内部专家可以处理事件调查和修复，从而扩展企业安全人员的能力。

另外，MSSP的缺点包括依赖于打包报告，这不符合企业的需求，也没有很好地了解企业的基础设施和IT服务。不过，通过确保MSSP提供相关的报告以及MSSP充分了解了企业的网络和服务情况，企业可以避免这个问题。

结论

内部专家和企业高管投入资金和劳动力的意愿最终将帮助确定最适合企业的产品。这需要全面了解企业试图解决的风险，以及企业网络和现有的安全控制。

成功的项目规划和部署将需要业务部门和IT部门关键人员的支持。这将会给你的网络带来前所未有的结果，为你提供可见性来进一步了解安全控制的有效性，并帮助发现和迅速修复未知安全问题。

正确部署的入侵检测和防御系统技术真正能够为企业带来光明。