Stvari, ki jih je treba iskati v zadnji liniji obrambe
Layered varnost je splošno sprejeto načelo računalniške varnosti in varnosti omrežja (glej In Depth Security). Osnovna predpostavka je, da potrebuje več obrambnih slojev za zaščito pred številnimi napadi in grožnjami. Ne samo, da lahko en izdelek ali tehnika ne zaščiti pred vsako možno grožnjo, zato zahtevajo različne izdelke za različne grožnje, vendar imajo več obrambnih linij, upajmo, da bodo enemu izdelku omogočili ujeti stvari, ki so morda zdrsnile mimo zunanje obrambe.
Obstaja veliko aplikacij in naprav, ki jih lahko uporabljate za različne sloje - protivirusno programsko opremo, požarne zidove, IDS (sistem za zaznavanje vdora) in več. Vsak ima nekoliko drugačno funkcijo in ščiti pred drugačnim naborom napadov na drugačen način.
Ena najnovejših tehnologij je sistem za preprečevanje vdora IPS. IPS je podoben kombinaciji IDS-ja z požarnim zidom. Tipični IDS vas bo prijavil ali opozoril na sumljiv promet, vendar vam je odgovoril odgovor. IPS ima pravilnike in pravila, ki jih primerja z omrežnim prometom. Če kateri koli promet krši pravilnike in pravila, se IPS lahko konfigurira, da se odzove in ne preprosto vas opozori. Tipični odzivi so lahko blokiranje celotnega prometa z izvornega IP-naslova ali blokiranje dohodnega prometa na tem pristanišču za proaktivno zaščito računalnika ali omrežja.
Obstajajo mrežni sistemi za preprečevanje vdorov (NIPS) in sistemi za preprečevanje vdorov (HIPS), ki temeljijo na gostitelju. Čeprav je lahko dražje izvajanje HIPS - še posebej v velikem podjetniškem okolju, priporočam varnost, ki temelji na gostitelju, kadar koli je to mogoče. Zaustavitev vdorij in okužb na posamezni ravni delovne postaje je lahko veliko bolj učinkovito pri blokiranju ali vsaj vsebovanju groženj. S tem v mislih, tukaj je seznam stvari, ki jih je treba iskati v rešitvi HIPS za vaše omrežje:
- Ne podpira podpisov : Podpisi - ali edinstvene značilnosti znanih groženj - so eno od glavnih sredstev, ki jih uporablja programska oprema, kot so odkrivanje protivirusnih programov in odkrivanje vdorov (IDS). Padanje podpisov je, da so reaktivne. Podpisa ni mogoče razviti šele, ko grožnja obstaja in bi lahko napadli pred podpisom. Vaša rešitev HIPS mora uporabiti prepoznavo na podlagi podpisa skupaj z odkrivanjem na podlagi anomalije, ki določa izhodišče, na kakšen način je "normalna" mrežna dejavnost na vašem računalniku in se odziva na vsak promet, ki se zdi nenavaden. Na primer, če vaš računalnik nikoli ne uporablja FTP in nenadoma nekaj grozi, da namerava odpreti povezavo FTP s svojega računalnika, bi HIPS to zaznal kot nepravilno dejavnost.
- Deluje z vašo konfiguracijo : nekatere rešitve HIPS so lahko omejevalne glede na programe ali procese, ki jih lahko nadzirajo in ščitijo. Poskusite najti HIPS, ki je sposoben voditi komercialne pakete z police, pa tudi vse domače aplikacije po meri, ki jih morda uporabljate. Če ne uporabljate prilagojenih aplikacij ali tega ne upoštevate kot pomemben problem za vaše okolje, vsaj zagotovite, da vaša rešitev HIPS ščiti programe in procese, ki jih izvajate.
- Vam omogoča ustvarjanje pravil: večina rešitev HIPS prihaja s precej celovitim nizom vnaprej določenih pravilnikov, pri čemer bodo prodajalci ponavadi ponudili posodobitve ali izdali nove pravilnike, da bi zagotovili poseben odziv za nove grožnje ali napade. Vendar je pomembno, da imate možnost ustvariti lastne pravilnike v primeru, da imate edinstveno grožnjo, za katero prodajalec ne računa ali če nova eksplozija eksplodira, in potrebujete pravilnik za zaščito vašega sistema pred prodajalec ima čas, da sprosti posodobitev. Morate se prepričati, da izdelek, ki ga uporabljate, ne le omogoča oblikovanje pravilnikov, temveč je ustvarjanje pravilnika dovolj preprosto, da ga lahko razumete brez tednov usposabljanja ali strokovnih veščin programiranja.
- Zagotavlja centralno poročanje in upravljanje : Medtem ko govorimo o zaščiti gostitelja za posamezne strežnike ali delovne postaje, so rešitve HIPS in NIPS relativno drage in zunaj področja običajnega domačega uporabnika. Torej, tudi če govorimo o HIPS-u, ga boste verjetno morali upoštevati z vidika uvajanja HIPS-a na morebitne stotine namizij in strežnikov v omrežju. Čeprav je lepo, da je zaščita na ravni posameznega namizja, je upravljanje z več sto posameznimi sistemi ali poskušanje ustvariti konsolidirano poročilo skoraj nemogoče brez dobrega centralnega poročanja in upravljanja funkcije. Pri izbiri izdelka zagotovite, da ima centralizirano poročanje in administracijo, ki vam omogoča, da uvedete nove pravilnike na vse stroje ali ustvarite poročila iz vseh naprav z ene lokacije.
Obstaja še nekaj drugih stvari, ki jih morate upoštevati. Prvič, HIPS in NIPS niso "srebrna metka" za varnost. Lahko so odličen dodatek k trdni, slojeviti obrambi, vključno z požarnimi zidovi in protivirusnimi aplikacijami, vendar ne bi smeli poskušati zamenjati obstoječih tehnologij.
Drugič, začetno izvajanje rešitve HIPS je lahko težavno. Konfiguriranje zaznavanja, ki temelji na anomaliji, pogosto zahteva precej "držanja roke", da aplikaciji pomaga razumeti, kaj je "običajen" promet in kaj ne. Morda boste doživeli številne napačne pozitivne ali negativne negativne elemente, medtem ko delate za določitev osnovnega elementa, ki določa "običajen" promet za vaš računalnik.
Na koncu podjetja običajno opravljajo nakupe na podlagi tega, kaj lahko storijo za podjetje. Standardna računovodska praksa kaže, da se to meri na podlagi donosa naložbe ali donosnosti naložbe. Računovodje želijo razumeti, če vlagajo denar v nov izdelek ali tehnologijo, kako dolgo bo za izdelek ali tehnologijo treba plačati zase.
Na žalost izdelki za omrežno in računalniško zaščito na splošno ne ustrezajo temu plesni. Varnost deluje bolj na povratni ROI. Če varnostni izdelek ali tehnologija deluje v skladu z načrtom, bo omrežje ostalo varno, vendar ne bo "dobička" za merjenje donosnosti naložbe. Morate pogledati obratno, čeprav in razmislite, koliko bi podjetje lahko izgubilo, če izdelek ali tehnologija ni bila vzpostavljena. Koliko denarja bi bilo treba porabiti za obnovo strežnikov, izterjavo podatkov, čas in sredstva, s katerimi se tehnično osebje nameni za čiščenje po napadu itd.? Če izdelek ne more povzročiti izgube bistveno več denarja kot strošek izdelka ali tehnologije za izvedbo, potem je to morda smiselno.