螣龙安科入侵感知：了解你的入侵检测系统

入侵检测系统是任何企业网络安全环境的重要组成部分。 它监测网络流量中是否存在异常活动，并在检测到此类活动时发出警报或响应。

这听起来很简单，但是必须对入侵解决方案进行不断的微调，以区分正常的网络流量和潜在的恶意行为。随着流量和黑客的不断发展，虚假警报可能会经常发生（研究表明，许多企业现在每天通过其所有安全工具收到5,000个警报，甚至更多）。

虽然入侵检测系统是现代安全解决方案的重要组成部分，但网络环境的复杂性和范围不断扩大，以及具有侵略性的黑客意味着企业或组织需要从其现有的网络安全工具中获得更好的性能以加速他们的事件响应能力，包括威胁识别和遏制。

让我们看一下传统入侵检测安全环境的一些局限性，以及如何帮助提高其性能吧。

从防火墙开始，大多数入侵检测系统都将重点放在外围攻击面威胁上，这就没有考虑到当今许多网络威胁在渗透时所利用的横向扩散（东西向）——研究表明，只有20％的发现威胁来自南北监视。

新型的入侵感知系统可以通过监视所有方向的流量模式来弥合此网络可见性差距。

当系统检测到可疑活动时，通常会将违规情况报告给安全信息和事件管理系统。良性流量异常或其他错误警报中最终确定实际威胁。辨别威胁所需的时间越长，可以造成的损害就越大。

新型入侵感知系统可以以最大程度提高索引编制能力，把SIEM搜索从数小时减少到几分钟。

新型入侵感知系统也可以通过串联安装来帮助保护网络上的设备，而不是像EDR那样保护设备本身。它可以在资产离线的情况下防止威胁的传播。

企业安全性和数据保护非常复杂。新型入侵感知系统可提供完整的网络可见性，为当今的企业提供更快的事件响应。