現(xiàn)代入侵檢測(cè)平臺(tái)必須具備的七項(xiàng)核心功能一旦網(wǎng)絡(luò)入侵活動(dòng)發(fā)生且不能阻止，企業(yè)應(yīng)該希望能夠第一時(shí)間得到告警。

在進(jìn)行傳統(tǒng)、內(nèi)部安全思維轉(zhuǎn)變時(shí)，行之有效的現(xiàn)代安全解決方案應(yīng)該是怎樣的形態(tài)?安全檢測(cè)我國(guó)從被動(dòng)防御轉(zhuǎn)變到主動(dòng)防御，單純的“預(yù)防”已經(jīng)遠(yuǎn)遠(yuǎn)不夠，主動(dòng)出擊，進(jìn)行檢測(cè)工作是后續(xù)安全工作的重中之重。

下圖包含入侵檢測(cè)體系中的五大關(guān)鍵組成部分。

在考量解決方案投資時(shí)，應(yīng)從技術(shù)角度確保其涵蓋全部要求：在上述核心功能之外，以下七項(xiàng)要求亦必須得到滿足。

1. 實(shí)現(xiàn)SecOps盡管SecOps一再被提及，但這種思維要具體落實(shí)卻并非易事。

SecOps還需要被真正引入開(kāi)發(fā)、運(yùn)營(yíng)與安全保障體系。

因此在選擇入侵檢測(cè)平臺(tái)時(shí)，應(yīng)將安全性與DevOps相結(jié)合，從而節(jié)約時(shí)間、提升效率以改善整體安全狀況。

2. 支持復(fù)雜環(huán)境出于種種考量，云環(huán)境往往只能作為企業(yè)的運(yùn)行平臺(tái)選項(xiàng)之一。

云、多云(Multi-Cloud，即企業(yè)將多個(gè)應(yīng)用部署在多個(gè)云平臺(tái)上)、混合云(Hybrid Cloud，包含私有云、公有云)、內(nèi)部與容器環(huán)境的雜糅才是趨勢(shì)所在。

為了保護(hù)這類復(fù)雜環(huán)境，需要保證安全性、合規(guī)性的始終可見(jiàn)性。

因此在選擇入侵檢測(cè)方案時(shí)，應(yīng)確保其能夠在復(fù)雜環(huán)境中提供必要的可見(jiàn)性保障。

3. 多種檢測(cè)模式當(dāng)前，各種網(wǎng)絡(luò)連接方式錯(cuò)綜復(fù)雜，已沒(méi)有明顯的網(wǎng)絡(luò)監(jiān)控邊界，這就需要結(jié)合多種檢測(cè)模式以發(fā)現(xiàn)所有可能出現(xiàn)的威脅因素，具體包括檢測(cè)主機(jī)上的行為、云配置審查、安全漏洞、文件完整性以及威脅情報(bào)等等。

正因?yàn)槿绱耍覀兊娜肭謾z測(cè)方案必須有能夠?qū)崿F(xiàn)這些目標(biāo)。

4. 發(fā)現(xiàn)所有攻擊除了檢測(cè)模式之外，理想的入侵檢測(cè)平臺(tái)還需要有能力發(fā)現(xiàn)多種攻擊手段與攻擊點(diǎn)，包括發(fā)現(xiàn)內(nèi)部與外部威脅，并從初始檢測(cè)到發(fā)展再到載體轉(zhuǎn)換全程實(shí)現(xiàn)攻擊檢測(cè)。

5. 異常行為警報(bào)異常行為是發(fā)現(xiàn)威脅的最好方式，且往往能夠搶在威脅造成實(shí)際危害之前將其扼制。

強(qiáng)大的入侵檢測(cè)方案應(yīng)該能夠?yàn)榄h(huán)境設(shè)定正常標(biāo)準(zhǔn)并隨時(shí)間推移進(jìn)行調(diào)整，從而持續(xù)實(shí)時(shí)檢測(cè)異常行為。

這就便于調(diào)查異常行為，并判斷其屬于正常狀況抑或代表著不斷演變的威脅活動(dòng)。

6. 提供統(tǒng)一數(shù)據(jù)安全事件響應(yīng)能力高度依賴于實(shí)際數(shù)據(jù)收集能力。

如果使用多點(diǎn)解決方案，必然面臨碎片化數(shù)據(jù)點(diǎn)問(wèn)題，而這會(huì)增加平均解析時(shí)間(簡(jiǎn)稱MTTR)。

企業(yè)的目標(biāo)在于保持低MTTR，因此必然要求能夠統(tǒng)一數(shù)據(jù)，從而通過(guò)入侵檢測(cè)解決方案提供面向基礎(chǔ)設(shè)施與其中所有活動(dòng)的全面觀察視角。

7. 保持合規(guī)性最后，PCI DSS、HIPAA以及SOC 2等主要合規(guī)性標(biāo)準(zhǔn)亦應(yīng)得到充分滿足。

某些平臺(tái)因?yàn)闊o(wú)法提供必要的控制、監(jiān)控與可審計(jì)性而無(wú)法真正支持上述合規(guī)性框架，選擇入侵檢測(cè)平臺(tái)時(shí)需仔細(xì)甄別。

總結(jié)來(lái)講，以上七條要求的最終目標(biāo)都是為了隨時(shí)間推移降低安全風(fēng)險(xiǎn)。

企業(yè)具備的可見(jiàn)能力越強(qiáng)，警報(bào)越迅速，持續(xù)監(jiān)控手段越充分，整體風(fēng)險(xiǎn)自然也就越合理。

因此，現(xiàn)代入侵檢測(cè)平臺(tái)有助于隨時(shí)間推移降低風(fēng)險(xiǎn)