Dinge om in hierdie laaste lyn van verdediging te soek
Gelaagde sekuriteit is 'n algemeen aanvaarde beginsel van rekenaar- en netwerkbeveiliging (sien In Depth Security). Die basiese uitgangspunt is dat dit verskeie lae verdediging vereis om te beskerm teen die wye verskeidenheid aanvalle en bedreigings. Nie net kan een produk of tegniek teen elke moontlike bedreiging beskerm word nie, daarom vereis verskillende produkte vir verskillende dreigemente, maar met die veelvoud van verdediging sal hopelik een produk toelaat om dinge te vang wat verby die buitenste verdediging gegly het.
Daar is baie toepassings en toestelle wat jy kan gebruik vir die verskillende lae-antivirus sagteware, firewalls, IDS (Intrusion Detection Systems) en meer. Elkeen het 'n effens ander funksie en beskerm teen 'n ander stel aanvalle op 'n ander manier.
Een van die nuwer tegnologieë is die IPS-Intrusion Prevention System. 'N IPS is ietwat soos die kombinasie van 'n IDS met 'n firewall. 'N Tipiese IDS sal jou aanmeld of waarskuwing gee aan verdagte verkeer, maar die antwoord word aan jou oorgelaat. 'N IPS het beleide en reëls wat dit vergelyk met netwerkverkeer na. As enige verkeer die beleide en reëls oortree, kan die IPS opgestel word om eerder te reageer as om u net te waarsku. Tipiese reaksies kan wees om alle verkeer van die bron-IP-adres te blokkeer of om inkomende verkeer op daardie poort te blokkeer om die rekenaar of netwerk proaktief te beskerm.
Daar is netwerk-gebaseerde inbraakvoorkomingstelsels (NIPS) en daar is inbraakvoorkomingstelsels (HIPS) op gasheer. Alhoewel dit duurder kan wees om HIPS te implementeer - veral in 'n groot, ondernemingsomgewing, raai ek waar moontlik aan op gasheer-gebaseerde sekuriteit. Stop indringings en infeksies op die individuele werkstasievlak kan baie meer effektief wees by blokkeer, of ten minste met dreigemente. Met dit in gedagte, hier is 'n lys van dinge om te soek in 'n HIPS oplossing vir jou netwerk:
- Vertrou nie op handtekeninge : Handtekeninge - of unieke eienskappe van bekende bedreigings - is een van die primêre middele wat gebruik word deur sagteware soos antivirus- en indringingsdeteksie. Die ondergang van handtekeninge is dat hulle reaktief is. 'N Handtekening kan nie ontwikkel word nadat 'n bedreiging bestaan het nie en jy kan moontlik aangeval word voordat die handtekening geskep word. Jou HIPS-oplossing moet handtekeninggebaseerde opsporing gebruik saam met anomalie-gebaseerde opsporing wat 'n basislyn bepaal van wat "normale" netwerkaktiwiteit op jou masjien lyk en sal reageer op enige verkeer wat ongewoon voorkom. As jou rekenaar byvoorbeeld nooit FTP gebruik en skielik 'n bedreiging probeer om 'n FTP-verbinding vanaf jou rekenaar oop te maak, sal die HIPS dit as 'n afwykende aktiwiteit opspoor.
- Werk met u konfigurasie : Sommige HIPS-oplossings kan beperkend wees in terme van watter programme of prosesse hulle kan monitor en beskerm. Jy moet probeer om 'n HIPS te vind wat in staat is om kommersiële pakkette uit die rak te hanteer, sowel as enige tuisgemaakte persoonlike toepassings wat jy mag gebruik. As jy nie aangepaste toepassings gebruik of dit nie as 'n belangrike probleem vir jou omgewing beskou nie, moet jy ten minste verseker dat jou HIPS-oplossing die programme en prosesse wat jy bestuur, beskerm.
- Laat jou toe om beleid te skep : Die meeste HIPS-oplossings kom met 'n redelik omvattende stel voorafbepaalde beleide en verskaffers sal tipies opdaterings aanbied of nuwe beleide vrystel om 'n spesifieke reaksie vir nuwe bedreigings of aanvalle te bied. Dit is egter belangrik dat u die vermoë het om u eie beleid te skep indien u 'n unieke bedreiging het waaraan die verkoper nie verantwoordelik is nie of wanneer 'n nuwe bedreiging ontplof en u 'n beleid nodig het om u stelsel te verdedig voor die verskaffer het tyd om 'n update vry te stel. Jy moet seker maak dat die produk wat jy gebruik nie net die vermoë het om beleid te skep nie, maar dat die skep van beleid eenvoudig genoeg is om te verstaan sonder weke opleiding of kundige programmeringsvaardighede.
- Verskaf Sentrale Verslagdoening en Administrasie : Terwyl ons praat oor gasheergebaseerde beskerming vir individuele bedieners of werkstasies, is HIPS en NIPS-oplossings relatief duur en buite die gebied van 'n tipiese tuisgebruiker. Dus, selfs as jy oor HIPS praat, moet jy dit waarskynlik oorweeg om HIPS op moontlike honderde desktops en bedieners oor 'n netwerk te implementeer. Alhoewel dit lekker is om beskerming op die individuele rekenaarvlak te bied, kan honderde individuele stelsels administreer word, of om 'n gekonsolideerde verslag te skep, dit kan amper onmoontlik wees sonder 'n goeie sentrale verslagdoening- en administrasiefunksie. As u 'n produk kies, maak seker dat dit sentrale verslaggewing en administrasie het om u toe te laat om nuwe beleide aan alle masjiene te implementeer of om verslae van alle masjiene vanaf een plek te skep.
Daar is 'n paar ander dinge wat jy moet in gedagte hou. Eerstens, HIPS en NIPS is nie 'n "silwer bullet" vir veiligheid nie. Hulle kan 'n goeie toevoeging tot 'n soliede, gelaagde verdediging insluitend firewalls en antivirus programme wees, maar moet nie probeer om bestaande tegnologie te vervang nie.
Tweedens, die aanvanklike implementering van 'n HIPS-oplossing kan nader wees. Die opstel van die anomalie-gebaseerde opsporing verg dikwels 'n handige handhawing om die aansoek te help verstaan wat "normale" verkeer is en wat nie. U mag 'n aantal vals positiewe of gemis negatiewe ondervind terwyl u werk om die basislyn te bepaal van wat "normale" verkeer vir u masjien definieer.
Laastens maak maatskappye gewoonlik aankope gebaseer op wat hulle vir die maatskappy kan doen. Standaard rekeningkundige praktyk dui daarop dat dit gemeet word op grond van die opbrengs op belegging, of ROI. Rekenmeesters wil verstaan of hulle 'n bedrag geld in 'n nuwe produk of tegnologie belê, hoe lank sal dit duur voordat die produk of tegnologie self betaal.
Ongelukkig pas netwerk- en rekenaarbeveiligingsprodukte gewoonlik nie hierdie vorm in nie. Veiligheid werk op meer van 'n omgekeerde ROI. As die sekuriteitsproduk of tegnologie werk soos ontwerp, sal die netwerk veilig bly, maar daar sal geen wins wees om 'n ROI te meet nie. Jy moet egter kyk na die omgekeerde en oorweeg hoeveel die maatskappy kan verloor as die produk of tegnologie nie in plek was nie. Hoeveel geld sal bestee moet word aan die opbou van bedieners, die herstel van data, die tyd en hulpbronne om tegniese personeel te spandeer om na 'n aanval skoon te maak? As dit nie die produk het nie, kan dit moontlik lei tot aansienlike meer geld as wat die produk of tegnologie kos om te implementeer, miskien is dit sinvol om dit te doen.