前言
这几年已经做了一些企业级IDS相关的工作,准备把我在这个方向上的工作总结一下,也给希望从事这方面工作的朋友们带来一些帮助吧,但是毕竟从事这方面工作的时间也不算太长,如果有什么纰漏或者不对的地方还请各位老师和大神指出。
同时推荐一本书吧:《互联网企业安全高级指南》。我也是再看了这本书之后,收到了一起启发,直到了如何构建企业级的IDS。企业的日志那么多,如何才能有效的利用起来,发现其中的风险和威胁。
首先,如果一个企业需要构建自己的IDS,必然是发展中遇到了相关的安全问题,就跟上面提到的书中写的那样,也按照创业公司,大中型公司,平台级公司和生态级公司给各种公司分个级别。
其次,来说说各种类型公司在构建自己IDS遇到的一些问题。
1.创业公司人力和财力都需要完全用来保障业务,而不是保障安全(除非是安全相关的创业公司),所以如何在人力和财力有限的情况下构建自己的IDS,我系列的文章应该可以帮助到这部分公司。
3.平台级公司,他们往往是已经比较稳定的互联网公司,同时业务也已经稳定,可以腾出手来保障自己的企业的安全了。这些公司往往技术研发人员足够,但是安全相关的从业人员较少,而且内部的安全部门可能还没有或者初创。并不能提供有效的安全保障。传统的安全铲平又无法满足这种公司的需求,所以只能招聘或者依赖于自己的技术人员构建自己IDS,那么本系列文章相信应该是最适合你们的。
4.生态级公司,基本就是BAT了吧,这些公司既有牛逼的安全人员,研发人员,又有大量资金,所以他们的IDS可能更牛逼了,很多需求是其他级别公司不会遇到的,这里可能就没发给他们提供帮助了,但是还是希望本系列文章对一些刚刚接触企业级的朋友们一些入门的引导。为以后构建更加完善,特殊需求的IDS提供参考。
最后,既然要构建企业级的IDS,肯定是一整套检测,分析,处理的流程和工具的集合。那么是自研,买成熟产品,还是使用开源系统?上面说了,一个是为了降低成本,一个是为了满足需求。为了同时实现这两个方面的要求,当然使用开源系统啦。所以本系列文章也是通过各种开源系统构建一套企业级的IDS。