Ką reikia ieškoti šioje paskutinėje gynybos linijoje
Sluoksniuoju saugumu yra plačiai pripažintas kompiuterio ir tinklo saugumo principas (žr. "Depth Security"). Pagrindinė prielaida yra tai, kad reikia kelių apsaugos lygių, kad būtų apsaugota nuo daugybės išpuolių ir grėsmių. Ne tik vienas produktas ar technika gali neapsaugoti nuo visų galimų grėsmių, todėl, atsižvelgiant į skirtingas grėsmes reikalingus skirtingus produktus, tačiau turintys daugybę gynybos linijų, tikimasi, kad vienas produktas gali sugauti dalykus, kurie galėjo paslysti praeinant išorės gynybai.
Yra daugybė programų ir įrenginių, kuriuos galite naudoti skirtingiems sluoksniams - antivirusinę programinę įrangą, ugniasienes, IDS (Intrusion Detection Systems) ir dar daugiau. Kiekvienas turi šiek tiek kitokią funkciją ir kitokiu būdu apsaugo nuo kitokių išpuolių.
Viena iš naujesnių technologijų - IPS intrusion prevention system. IPS yra šiek tiek panašus, kaip derinti IDS su ugniasiene. Įprastas IDS prisijungs arba įspės jus į įtartiną srautą, bet atsakymas bus paliktas jums. IPS turi taisykles ir taisykles, pagal kurias tinklo srautas lyginamas su. Jei koks nors iš eismo pažeidžia politiką ir taisykles, IPS gali būti sukonfigūruotas atsakyti, o ne tiesiog įspėti jus. Tipiški atsakymai gali būti blokuoti visą srautą iš šaltinio IP adreso arba užblokuoti gaunamus srautus toje uoste, siekiant aktyviai apsaugoti kompiuterį ar tinklą.
Yra tinklo pagrindu įsilaužimo prevencijos sistemos (NIPS) ir yra įsilaužimų prevencijos sistemos (HIPS). Nors HIPS gali būti brangesnė, ypač didelėje įmonės aplinkoje, kai tik įmanoma, rekomenduoju įdiegti pagrindinę prieglobą. Individualių darbo vietų lygio įsibrovimų ir infekcijų sustabdymas gali būti daug veiksmingesnis blokuojant ar bent jau esant grėsmėms. Turint tai omenyje, čia yra sąrašas dalykų, kuriuos reikia ieškoti jūsų tinklo HIPS sprendime:
- Negalima pasikliauti parašais : parašai arba unikalios žinomų grėsmių savybės yra viena iš pagrindinių priemonių, naudojamų programinės įrangos, pavyzdžiui, antivirusinės ir įsibrovimų aptikimo (IDS). Parašų žlugimas yra tas, kad jie yra reaktyvūs. Parašas negali būti sukurtas tol, kol nėra grėsmės, ir potencialiai galite užpulti prieš parašo sukūrimą. Jūsų HIPS sprendime turėtų būti naudojama parašo pagrindu veikianti aptikimo priemonė kartu su anomalijomis pagrįsta aptikimo funkcija, kuri nustato, kokia "normalioji" tinklo veikla atrodo jūsų kompiuteryje, ir reaguoja į bet kokį neįprastą srautą. Pvz., Jei jūsų kompiuteryje niekada nenaudojamas FTP ir staiga tam tikra grėsmė bando atverti FTP ryšį iš kompiuterio, HIPS tai apibūdina kaip anomalinę veiklą.
- Darbai su jūsų konfigūracija : Kai kurie HIPS sprendimai gali būti ribojantys, kalbant apie programas ar procesus, kuriuos jie gali stebėti ir apsaugoti. Turėtumėte pabandyti surasti HIPS, galinčią tvarkyti komercinius paketus iš lentynos, taip pat bet kokias namuose išaugintas pritaikytas programas, kurias galite naudoti. Jei nenaudojate pritaikytų programų arba nemanoite, kad tai yra didelė jūsų aplinkos problema, bent jau įsitikinkite, kad jūsų HIPS sprendimas apsaugo programas ir procesus, kuriuos vykdote.
- Leidžia kurti politiką : dauguma HIPS sprendimų yra su gana išsamiu iš anksto apibrėžtų politikos sričių rinkiniu, todėl pardavėjai paprastai siūlo naujinius arba išleidžia naujas politikas, kad pateiktų konkretų atsaką dėl naujų grėsmių ar atakų. Tačiau svarbu, kad jūs turite galimybę kurti savo politiką tuo atveju, jei turite unikalią grėsmę, dėl kurios pardavėjas nesuskaito, arba kai nauja grėsmė sprogsta, ir jums reikia politikos, kad jūsų sistema būtų apsaugota prieš pardavėjas turi laiko išleisti atnaujinimą. Turite įsitikinti, kad naudojamas produktas ne tik leidžia kurti politiką, bet ir tokios politikos formavimas yra pakankamai paprastas, kad galėtumėte suprasti be savaičių mokymų ar ekspertų programavimo įgūdžių.
- Centralizuota atskaitomybė ir administravimas . Nors kalbame apie atskirų serverių arba darbo vietų saugojimą priimančiosios šalies mastu, HIPS ir NIPS sprendimai yra palyginti brangūs ir nepažįstami tipiško namų vartotojams. Taigi, net kalbant apie HIPS, turbūt turėtumėte tai apsvarstyti, kalbant apie HIPS diegimą galbūt šimtuose stalinių kompiuterių ir serverių visame tinkle. Nors malonu apsaugoti atskirus darbalaukio lygius, administruojant šimtus atskirų sistemų arba bandant sukurti konsoliduotą ataskaitą be beveik neįmanoma be geros centrinės ataskaitų teikimo ir administravimo funkcijos. Renkantis produktą, įsitikinkite, kad jis turi centralizuotą ataskaitų teikimą ir administravimą, kad galėtumėte diegti naujas taisykles visoms mašinoms arba kurti ataskaitas iš visų įrenginių iš vienos vietos.
Yra keletas kitų dalykų, kuriuos reikia nepamiršti. Pirma, HIPS ir NIPS nėra "sidabro kulka" saugumui. Be to, jie gali būti puikus priedas prie kietos, daugiasluoksnės gynybos, įskaitant ugniasienes ir antivirusines programas, tačiau neturėtų pabandyti pakeisti esamų technologijų.
Antra, pradinis HIPS sprendimo įgyvendinimas gali būti kruopštus. Nustatant anomalijų pagrįstą aptikimą dažnai reikia daug "rankų laikymo", kad padėtų programai suprasti, kas yra "įprastas" srautas, o kas ne. Kai dirbate, galite nustatyti keletą klaidingų teigiamų ar praleistų neigiamų rezultatų, kad nustatytumėte pagrindinį jūsų "įprasto" srauto nustatymą jūsų mašinoje.
Galiausiai įmonės paprastai vykdo pirkimus, atsižvelgdamos į tai, ką jie gali padaryti bendrovei. Standartinė apskaitos praktika rodo, kad tai vertinama atsižvelgiant į investicijų grąžą arba IG. Apskaitos pareigūnai nori suvokti, ar jie investuoja pinigų sumą į naują produktą ar technologiją, kiek laiko už produktą ar technologiją reikės sumokėti už save.
Deja, tinklo ir kompiuterio apsaugos produktai paprastai neatitinka šio pelėsio. Sauga veikia daugiau atvirkštinio pelningumo. Jei saugumo produktas ar technologija veikia taip, kaip suprojektuota, tinklas išliks saugus, bet nebus jokio "pelno" iš IG matavimo. Tačiau turėtumėte pažvelgti į atvirkščiai ir apsvarstyti, kiek įmonės galėtų prarasti, jei nebūtų sukurtas produktas ar technologijos. Kiek pinigų reiktų išleisti serverių atkūrimui, duomenų atkūrimui, laiko ir išteklių, skirtų techniniam personalui paskirstyti po išpuolio ir tt? Jei produkto neturintis produktas gali prarasti žymiai daugiau pinigų, nei būtų galima panaudoti produkto ar technologijos išlaidas, galbūt tai yra tikslinga tai padaryti.