僅網絡入侵檢測就夠了嗎?
如何才能知道你的企業有沒有被入侵呢?實際上,這是個很簡單的問題,人們的回答往往是你需要某種程度的事件檢測能力。
盡管網絡入侵檢測技術取得了重大進展,但是許多企業還是落在了時代的后面,沒能建立起強有力的檢測功能來識別真正具有威脅的事件。網絡入侵檢測不僅僅是一個技術工具集,它還具有一些復雜的功能,其中包括明確定義的技術領域以及過程領域,這需要由稱職的人員來管理。任何一個領域出現紕漏都會嚴重削弱檢測的效果。
不幸的是,許多企業并沒有把網絡入侵檢測看成是一種戰略上的安全能力,這導致企業所做的努力僅僅局限于部署基于網絡入侵檢測系統(IDS)傳感器的簽名,跟蹤那些明顯、簡單和那些通常不具威脅性的活動(如端口掃描)。你可能還需要跟蹤端口掃描來查清對獲悉你的資產配置感興趣的人,但這些簡單的、開箱即用的網絡入侵檢測技術對于現在的威脅來說其檢測能力并不強大。另外,許多公司沒有足夠的分析能力去分析多點數據之間的關系,從而無法檢測出廣泛的攻擊類型或者復雜的攻擊,盡管市面上有很多解決這些問題的技術。
有些企業選擇把網絡入侵檢測設備的管理外包給別的公司。然而,許多企業忽略了那些由服務提供商返回的數據,只是一味自豪地忙著把他們的服務合同給監管人員以及審計人員看,好像合同就是企業檢測能力的證據一樣。雖然,這樣的合同似乎滿足了許多監管人員以及審計人員的要求,但是企業不應該把審計人員簽發的規則遵從聲明看成是企業安全實力的證明。
脆弱的網絡入侵檢測能力會帶來多重問題。很明顯,這些問題會導致企業不斷遭到網絡入侵者的破壞、造成重大的信息損失,可能還會影響計算資源的可用性。另一個問題是,在發現公司被入侵之后,無法進行適當的安全取證調查。而強有力的檢測技術一般都能夠提供一些有用的機制來捕獲歷史數據,這有利于事件發生后的分析工作;分析結果也可以以指標的形式組合起來,從而有利于控制方面的改進。與入侵事件相關的稀少數據還可以減少不必要的民事以及刑事案件,這是企業希望看見的。相反,不具備強有力的網絡入侵檢測能力則表明技術管理層面存在著疏忽,進而表明企業沒有履行“應盡的責任”。
建立有效的網絡入侵檢測能力需要建立一個綜合的架構,其中包括能夠真正檢測出威脅企業財產活動的技術以及過程。它不僅包括技術架構,比如入侵檢測與防護以及安全信息和事件管理系統,而且還需要支持監督活動。如果沒有足夠的操作監控以及響應過程,那么用于檢測資產威脅的技術工具集就起不到應有的作用,即使企業這么做是出于對入侵檢測設計的重視。
定期的網絡入侵檢測測試有時會被曲解成一種有效的檢測能力測試。但是,那些測試檢測架構有效性的技術(如滲透測試)只有跟相應的響應操作結合起來才能發揮作用。響應操作能夠評估技術檢測方面(IDS識別這個測試攻擊嗎?)以及適當防護方面(IDS的所有者注意到自動警報了嗎?他們采取了適當的應對行動嗎?)的成功程度。我在安全評估過程中使用過一種方法是利用持續增加嚴重程度來進行測試。換句話說,我們在敲門時逐次增加敲擊的力度,然后去觀察:(a)敲擊被發現的時刻以及(b)與攻擊類型相關的響應操作的適當性。這種測試方法支持對整體檢測效果的評估。
企業在安全的多個領域中有一個非常明確的選擇,我們可以把它歸結為一個非常基本的概念:企業的安全目標是為了滿足審計人員呢,還是用來真正識別過程中的威脅以便更好的保護信息?那些采取最低限度做法(比如訂購管理質量差的檢測服務,不具備設計適當的內部數據管理程序)的企業,要么是在跟他們自己開玩笑,要么是在跟他們的監管人員開玩笑,要么這兩種情況都有。
【編輯推薦】
