保護企業的網絡關鍵是選擇可有效阻止攻擊以及補充現有安全控制的入侵檢測和防御系統(IDS/IPS)產品。

在確定購買IDS/IPS產品之前，企業應該記住以下5個考慮因素。

1. 你有沒有做好功課?

在評估現有入侵檢測工具時，有著顯著的學習曲線。

你可以讓區域增值經銷商(VAR)來幫助你聯系到他們的主題專家以及制造商的代表和獨立顧問。最好的增值經銷商愿意為企業花時間，因為他們知道從長遠來看這會給他們帶來回報。他們不想賣給你不合適的產品，并且他們希望帶來對其他項目的某種形式的商業回報。他們可以根據你企業的需求，幫助你確定你需要詢問供應商的問題。

此外，基于你行業的合規監管進行的風險評估可以幫助確定需要保護哪些資源以及何種程度。你需要確保你清楚地了解風險情況和相關的指標以幫助你進行項目規劃。

在做出選擇時，你的選擇應該基于解決企業風險所需要的功能。你可以使用功能矩陣來比較競爭產品;這可以簡單地在文字處理表或電子表格中實現。根據選擇過程的不同，功能矩陣將包含針對必要功能的簡單的復選框(通過/不通過)，以及針對可選功能的可行性的加權數值范圍。

2. 你企業的網絡團隊是否支持你的選擇?

IDS/IPS技術的部署最好需要企業網絡工作人員的積極參與。很多任務應該由網絡專家來完成，例如配置網絡交換機SPAN端口或安裝網絡tap。由于IDS/IPS技術本質上是突破性的技術，網絡人員必須了解這一技術的工作原理。

通過與網絡工作人員合作來確定監測點，安全和網絡團隊都可以更好地了解什么樣的流量需要進行檢測。網絡人員可以幫助確定是否需要專門設備(例如負載均衡器或網絡聚合器)來幫助檢測網絡攻擊，同時保持網絡的高可用性。

3. 你的項目計劃是否從成本角度考慮替代產品?

網絡速度也將影響可部署的IDS/IPS傳感器的數量。一般來說，網絡段越快，傳感器越昂貴。在現在的市場上，10GB傳感器比1GB傳感器要貴三到四倍。

為了解決這個問題，企業可以采用多種方法;第一種方法是采用分階段部署，分攤資本支出到多年時間里。另一種方法是使用網絡聚合技術，以允許單個IDS傳感器來監控多個網絡段。還有一種方法是使用已部署的統一威脅管理(UTM)防火墻中的IPS功能來監控一些網絡段。最后，如果企業擁有良好的開源技術，Snort IDS傳感器可以部署在現有硬件來覆蓋低風險領域—這是商業IDS/IPS產品不會解決的領域。

4. 你的項目是否解決了無線威脅?

網絡和安全團隊還需要確定是否需要獨立的無線IDS/IPS傳感器或者預選系統是否可以解決無線安全問題。有些無線接入點控制器具有內置IDS/IPS功能，所以只要簡單地在現有設備中啟用該功能即可。

這兩種技術屬于互補技術，無線IDS/IPS傳感器主要尋找偽造的MAC地址和惡意接入點，而傳統的IDS/IPS技術能夠解決很多其他形式的基于網絡的攻擊。在檢測使用企業接入點的私人擁有的移動設備中的惡意活動時，這特別有用。

5. 你的項目是否解決了如何管理安全事件的問題?

企業必須認識到，IDS/IPS傳感器都需要專門的培訓才能操作。企業必須對傳感器進行適當調整以消除誤報，警報也必須與實際威脅相關。安全人員必須經過培訓才能對報告的事件進行攔截和采取行動。

企業會檢測到大量事件(即使是在經過適當調整的傳感器)，這意味著必須采用某些方法來關聯和整合多個IDS/IPS事件。很多IDS/IPS產品提供某種類型的管理服務器和控制臺，但最好使用安全事故和事件管理(SIEM)平臺來解釋這些事件。SIEM非常適用于關聯IDS/IPS事件與來自單獨安全技術的事件，例如UTM、端點主機IDS和端點反惡意軟件。

除了培訓成本和SIEM系統的成本，自動網絡攻擊的持續性質意味著企業在任何時候都可能遭受攻擊，因此在項目規劃中必須解決人手問題。托管安全服務提供商(MSSP)可以提供全天候服務，在做出選擇前企業需要了解MSSP的范圍以及預期的職責。另一個需要考慮的因素是，MSSP可以提供基本的事件識別，而企業的內部專家可以處理事件調查和修復，從而擴展企業安全人員的能力。

另外，MSSP的缺點包括依賴于打包報告，這不符合企業的需求，也沒有很好地了解企業的基礎設施和IT服務。不過，通過確保MSSP提供相關的報告以及MSSP充分了解了企業的網絡和服務情況，企業可以避免這個問題。

結論

內部專家和企業高管投入資金和勞動力的意愿最終將幫助確定最適合企業的產品。這需要全面了解企業試圖解決的風險，以及企業網絡和現有的安全控制。

成功的項目規劃和部署將需要業務部門和IT部門關鍵人員的支持。這將會給你的網絡帶來前所未有的結果，為你提供可見性來進一步了解安全控制的有效性，并幫助發現和迅速修復未知安全問題。

正確部署的入侵檢測和防御系統技術真正能夠為企業帶來光明。