入侵检测成企业IT安全必备的安全因素

　　【IT168 评论】攻击者经常会突破企业安全防线，早期检测到异常变得越来越重要。专家称，企业不能只是关注合规问题。在安全行业的传统做法就是：企业应该预计到攻击者将会进入他们的网络，即使他们还没有进入。虽然预防攻击的技术和程序是必要的，但是早期发现异常变得越来越重要。

　　这使安全监控和信息管理技术成为了聚光灯下的焦点。企业必须对不断增加的大量信息进行筛选以检测攻击，而这些信息来源于数量不断增加的设备中。

　　NetIQ公司产品管理主管Matt Ulery表示，“由于企业需要监控的来源的数量已经增加，所以监控的重要性也提高了，你能说出一家其网络的异构程度比两年前的要小的公司吗？这太疯狂了。”

　　当前作为安全信息和事件监控(SIEM)的重要组成部分是将安全事件放在背景环境中---关联不同警报和警告来确定该活动是否是一个技术问题、内部人员错误或者实际攻击。惠普公司企业安全产品组全球产品和解决方案营销副总裁Michael Callahan表示，良好的安全信息和事件监控产品减少了网络环境的复杂性，并且向首席信息安全观对可能是攻击的异常信息发出警报。

　　Callahan表示：“因为我们会遇到更多安全事件，并且会产生更多信息，你需要对所有这些信息进行筛选，找出最有价值的信息，找出重要信息。”

　　企业需要对其网络中发生的事情拥有更清晰的视野，这使得企业加快了对安全信息和事件监控工具的部署。根据分析公司Gartner数据显示，大约22%的企业已经部署或者正在部署监控系统，而另外21%的企业计划在未来12到24个月内部署监控系统。

　　安全专家称，确定如何优化监控解决方案作为整体安全计划的一部分是很困难的。根据Gartner的数据显示，一般公司花费信息技术预算的6%在安全上。对于一个小公司，这些预算可以购买防病毒软件和防火墙，而大公司可能拥有自己的安全运营中心。

　　比这些具体花费的金额更重要的是，为了抵御这些威胁，企业必须非常迅速地调整他们的防御措施，Gartner公司研究主管Lawrence Pingree宝石，例如，企业可以将商品安全产品交给托管安全服务供应商来节约预算，然后将省下来的预算花在更新的技术上。

　　Pingree 表示：“如果你的安全控制停滞不前，你可能会遭遇攻击。”

　　NetIQ'公司的Ulery表示，不幸的是，大多数公司都选择部署能够符合合规要求的解决方案，而不是选择一个能够为他们提供对其网络安全性的更好的能见度的监控解决方案。理由是：安全专家发现将监控成本作为满足合规要求的一部分，要比争辩监控能够提供更好的网络能见度要更容易。

　　“大多数安全专业人士不知道如何与高管进行最大限度地降低风险的谈话，”他表示，“而将这部分成本仍在合规下面更加省事。”

　　然而，企业需要的不仅仅是遵守合规要求，而需要提高他们的整体安全，Gartner公司的Pingree表示，很多公司根据需要从其不同硬件设备存储日志，但是这并不能够帮助防止攻击。不到一半的公司设置其安全信息系统来完全阻止违反政策的流量或者行为。

　　Pingree表示：“如果你想要进行威胁预防，你需要进入这些产品的预防模式。”

　　惠普公司的Callahan表示，在最后，除非公司超越合规这条线，他们都可能受到攻击。

　　“遵守合规并不意味着你是安全的，”他表示，“你需要在监测方面采取更有针对性的方法。”