Lucruri de căutat în această ultimă linie de apărare
Securitatea stratificată este un principiu general acceptat al securității calculatoarelor și a rețelelor (a se vedea secțiunea In Depth Security). Premisa de bază este că necesită mai multe straturi de apărare pentru a proteja împotriva unei largi varietăți de atacuri și amenințări. Nu numai că un produs sau o tehnică nu poate proteja împotriva oricărei posibile amenințări, prin urmare necesită produse diferite pentru amenințări diferite, dar având mai multe linii de apărare, va permite unui produs să captureze lucruri care ar fi putut să treacă peste apărarea exterioară.
Există o mulțime de aplicații și dispozitive pe care le puteți utiliza pentru diferitele straturi - software antivirus, firewall-uri, IDS (sisteme de detectare a intruziunilor) și multe altele. Fiecare are o funcție ușor diferită și protejează într-un mod diferit de un set diferit de atacuri.
Una dintre tehnologiile noi este sistemul de prevenire a intruziunii IPS. Un IPS este oarecum asemănător combinării unui IDS cu un firewall. Un IDS tipic vă va înregistra sau vă va alerta în trafic suspect, dar răspunsul vă este lăsat. Un IPS are politici și reguli pe care le compară traficul de rețea. Dacă orice trafic încalcă politicile și regulile, IPS poate fi configurat să răspundă mai degrabă decât să vă anunțe pur și simplu. Răspunsurile tipice ar putea fi blocarea întregului trafic de la adresa IP sursă sau blocarea traficului de intrare pe acel port pentru a proteja în mod proactiv calculatorul sau rețeaua.
Există sisteme de prevenire a intruziunilor bazate pe rețele (NIPS) și există sisteme de prevenire a intruziunilor bazate pe gazdă (HIPS). Deși poate fi mai costisitor să implementeze HIPS - mai ales într-un mediu mare de întreprindere, recomand să văd securitatea bazată pe gazdă ori de câte ori este posibil. Oprirea intruziunilor și a infecțiilor la nivelul fiecărei stații de lucru poate fi mult mai eficientă în blocarea sau cel puțin a amenințărilor. Având în vedere acest lucru, aici este o listă de lucruri pe care să le căutați într-o soluție HIPS pentru rețeaua dvs.:
- Nu se bazează pe semnături : Semnăturile - sau caracteristicile unice ale amenințărilor cunoscute - sunt unul dintre mijloacele primare utilizate de software-ul de tip antivirus și de detectare a intruziunilor (IDS). Declinul semnăturilor este că acestea sunt reactive. O semnătură nu poate fi dezvoltată decât după ce există o amenințare și ați putea fi atacată înainte de a crea semnătura. Soluția dvs. HIPS ar trebui să utilizeze detectarea pe bază de semnături împreună cu detectarea bazată pe anomalii, care stabilește o linie de bază a activității rețelei "normale" pe mașină și va răspunde la orice trafic care pare neobișnuit. De exemplu, dacă computerul dvs. nu utilizează niciodată FTP și brusc o anumită amenințare încearcă să deschidă o conexiune FTP de pe computer, HIPS ar detecta această activitate ca activitate anormală.
- Funcționează cu configurația dvs .: Unele soluții HIPS pot fi restrictive în ceea ce privește programele sau procesele pe care le pot monitoriza și proteja. Ar trebui să încercați să găsiți un HIPS capabil să manipuleze pachetele comerciale de pe raft, precum și orice aplicații personalizate create de dvs. pe care le folosiți. Dacă nu utilizați aplicații personalizate sau nu considerați că aceasta este o problemă semnificativă pentru mediul dvs., asigurați-vă cel puțin că soluția dvs. HIPS protejează programele și procesele pe care le executați.
- Vă permite să creați politici : Cele mai multe soluții HIPS au un set destul de cuprinzător de politici predefinite, iar vânzătorii vor oferi de obicei actualizări sau lansări de politici noi pentru a oferi un răspuns specific pentru noi amenințări sau atacuri. Cu toate acestea, este important să aveți capacitatea de a crea propriile politici în cazul în care aveți o amenințare unică pe care vânzătorul nu o contabilizează sau când o nouă amenințare explodează și aveți nevoie de o politică de apărare a sistemului înainte de furnizorul are timp să lanseze o actualizare. Trebuie să vă asigurați că produsul pe care îl utilizați are nu numai capacitatea de a crea politici, ci că crearea unei politici este suficient de simplă pentru a înțelege fără săptămâni de formare sau abilități de programare expert.
- Oferă raportare și administrare centrală : În timp ce vorbim despre protecția bazată pe gazdă pentru servere individuale sau stații de lucru, soluțiile HIPS și NIPS sunt relativ scumpe și în afara domeniului unui utilizator obișnuit de acasă. Deci, chiar și atunci când vorbești despre HIPS, probabil că trebuie să o consideri din punctul de vedere al implementării HIPS pe sute de desktop-uri și servere dintr-o rețea. Deși este bine să ai protecție la nivelul fiecărui desktop, administrarea a sute de sisteme individuale sau încercarea de a crea un raport consolidat poate fi aproape imposibilă fără o bună funcție centrală de raportare și administrare. Când selectați un produs, asigurați-vă că acesta are rapoarte și administrare centralizate pentru a vă permite să implementați politici noi pentru toate mașinile sau pentru a crea rapoarte de la toate mașinile dintr-o singură locație.
Există câteva alte lucruri pe care trebuie să le țineți cont. În primul rând, HIPS și NIPS nu sunt un "glonț de argint" pentru securitate. Ele pot fi un plus extraordinar pentru o apărare solidă, în strat subțire, inclusiv firewall-uri și aplicații antivirus, dar nu ar trebui să încerce să înlocuiască tehnologiile existente.
În al doilea rând, implementarea inițială a unei soluții HIPS poate fi dificilă. Configurarea detecției bazate pe anomalii necesită adesea o bună parte a "mâinii de reținere" pentru a ajuta aplicația să înțeleagă ce este traficul "normal" și ce nu este. Este posibil să întâlniți un număr de fals pozitive sau negative neglijate în timp ce lucrați pentru a stabili linia de bază a ceea ce definește traficul "normal" pentru mașina dvs.
În cele din urmă, companiile fac în general achiziții pe baza a ceea ce pot face pentru companie. Practica contabilă standard sugerează că aceasta este măsurată pe baza rentabilității investiției sau a rentabilității investiției. Contabilii doresc să înțeleagă dacă investesc o sumă de bani într-un produs sau tehnologie nouă, cât timp va dura pentru ca produsul sau tehnologia să-și plătească singuri.
Din păcate, produsele de rețea și de securitate informatică nu se potrivesc în general acestui tipar. Securitatea lucrează la mai multă rentabilitate a investiției. Dacă produsul sau tehnologia de securitate funcționează așa cum a fost proiectat, rețeaua va rămâne în siguranță, dar nu va exista niciun "profit" pentru a măsura un ROI. Trebuie să te uiți în sens invers și să ia în considerare cât de mult ar putea pierde compania în cazul în care produsul sau tehnologia nu au fost în loc. Cati bani ar trebui cheltuiti pentru reconstruirea serverelor, recuperarea datelor, timpul si resursele dedicate personalului tehnic pentru curatarea dupa un atac etc? Dacă nu aveți produsul poate avea ca rezultat pierderea semnificativ mai multor bani decât costul produsului sau al tehnologiei pentru implementare, atunci poate că are sens să faceți acest lucru.