Az utolsó védelmi vonalat keresni
A réteges biztonság a számítógépes és hálózati biztonság széles körben elfogadott elve (lásd: A biztonság mélysége). Az alapfeltevés az, hogy több védelmi réteget igényel a támadások és fenyegetések széles skálájával szemben. Nem csak egy termék vagy technika védheti meg minden lehetséges fenyegetést, ezért különféle termékeket igényel különböző fenyegetésekért, de több védelmi vonalon is remélhetőleg lehetővé teszi, hogy egy termék elkaphasson olyan dolgokat, amelyek a külső védelem múltán elcsúsztak.
Rengeteg alkalmazás és eszköz használható a különböző rétegekhez - víruskereső szoftverek, tűzfalak, IDS (Intrusion Detection Systems) és így tovább. Mindegyiknek kissé eltérő funkciója van, és más módon védi a különböző támadási módokat.
Az egyik újabb technológia az IPS Intrusion Prevention System. Az IPS valamilyen mértékben hasonlít egy IDS és egy tűzfal összekapcsolására. Egy tipikus IDS be fog jelentkezni vagy figyelmeztetni fogja Önt a gyanús forgalomra, de a válasz az Ön számára marad. Az IPS rendelkezik irányelvekkel és szabályokkal, amelyek összehasonlítják a hálózati forgalmat. Ha bármilyen forgalom sérti az irányelveket és szabályokat, akkor az IPS konfigurálható úgy, hogy reagáljon, és ne csak riasztani. Tipikus válaszok lehetnek a forrás IP-cím összes forgalmának blokkolása vagy a bejövő forgalom blokkolása a porton a számítógép vagy a hálózat proaktív védelmére.
Vannak hálózati alapú behatolás-megelőző rendszerek (NIPS) és vannak host-alapú behatolás-megelőző rendszerek (HIPS). Bár drágább lehet a HIPS megvalósítása - különösen nagy, vállalati környezetben, ahol lehetőség van a host-alapú biztonságra. Az egyes munkaállomások szintjén a behatolások és a fertőzések leállítása sokkal hatékonyabb lehet a fenyegetések blokkolásában, vagy legalábbis tartalmazva. Ezt szem előtt tartva, itt talál egy listát a HIPS megoldásról a hálózatra vonatkozóan:
- Nem támaszkodik az aláírásokra : Az aláírások vagy az ismert fenyegetések egyedi jellemzői - az olyan szoftverek elsődleges eszközei, mint a víruskereső és a behatolásérzékelés (IDS). Az aláírások bukása az, hogy reaktívak. Egy aláírást csak akkor lehet kifejleszteni, ha egy fenyegetés fennáll, és potenciálisan megtámadható az aláírás létrehozása előtt. A HIPS megoldásnak alá kell támasztania az alapon alapuló azonosítást, valamint az anomáliaalapú észlelést, amely meghatározza a "normál" hálózati tevékenységnek a gépen megjelenő nézetét, és reagál a megszokottnak tűnő forgalomra. Ha például a számítógép soha nem használja az FTP-t és hirtelen fenyegetést próbál megnyitni egy számítógépről az FTP kapcsolatot, a HIPS ezt anomáliás tevékenységként fogja fel.
- Működik a konfigurációval : Egyes HIPS megoldások korlátozhatják azokat a programokat vagy folyamatokat, amelyeket megfigyelhetnek és védhetnek. Meg kell próbálnia megtalálni a HIPS-t, amely képes kezelni a kereskedelmi csomagokat a polcról, valamint bármely olyan otthoni, egyedi alkalmazást, amelyet használhat. Ha nem használja az egyéni alkalmazásokat, vagy nem veszi figyelembe, hogy ez jelentős probléma a környezetéhez, akkor legalább gondoskodjon arról, hogy a HIPS megoldás védje a futtatni kívánt programokat és folyamatokat.
- Lehetővé teszi a házirend létrehozását : A legtöbb HIPS megoldás eléggé átfogó előre meghatározott irányelvekkel rendelkezik, és a szállítók rendszerint frissítéseket kínálnak vagy új irányelveket bocsátanak rendelkezésre, amelyek konkrét választ adnak az új fenyegetésekre vagy támadásokra. Fontos azonban, hogy létrehozhat saját házirendeket abban az esetben, ha egyedülálló fenyegetést jelent, amelyet az eladó nem számít ki, vagy amikor egy új fenyegetés felrobban, és olyan rendszert igényel, amely megvédi a rendszert a a forgalmazónak ideje van egy frissítés kiadására. Meg kell győződnie arról, hogy az Ön által használt terméknek nem csak a politikák létrehozására van lehetősége, de a politika létrehozása elég egyszerű ahhoz, hogy hetekig ne értse a képzést vagy a szakértői programozási készségeket.
- Központi jelentést és adminisztrációt biztosít : Miközben egyéni kiszolgálókra vagy munkaállomásokra vonatkozó host-alapú védelemről beszélünk, a HIPS és a NIPS megoldások viszonylag drágák és egy tipikus otthoni felhasználó tartományán kívül esnek. Tehát még akkor is, amikor a HIPS-ről beszélünk, valószínűleg meg kell fontolnunk azt a szempontból, hogy a HIPS-t több száz asztali számítógépre és szerverre telepítjük a hálózaton. Noha jó az egyéni asztali szinten való védelem, több száz egyedi rendszer adminisztrációja, vagy egy konszolidált jelentés létrehozása szinte lehetetlen lehet jó központi jelentés és adminisztrációs funkció nélkül. A termék kiválasztásakor győződjön meg róla, hogy központosított jelentést és adminisztrátort tartalmaz, amelyek lehetővé teszik új irányelvek telepítését az összes gépre vagy jelentéseket készíthetnek az összes helyről származó gépekről.
Van még néhány dolog, amit szem előtt kell tartanunk. Először is, a HIPS és a NIPS nem egy "ezüstös golyó" a biztonságért. Ezek egyike lehet a szilárd, réteges védelemnek, többek között a tűzfalak és a víruskereső alkalmazások mellett, de nem szabad megpróbálnia helyettesíteni a meglévő technológiákat.
Másodszor, a HIPS megoldásának kezdeti megvalósítása nyomasztó lehet. Az anomália-alapú észlelés konfigurálása gyakran sok "kézfogást" igényel, hogy segítse az alkalmazást megérteni, mi a "normális" forgalom, és mi nem. Számos hamis pozitívumot vagy kimaradt negatívokat tapasztalhat, miközben megpróbálja megállapítani, hogy mi határozza meg a gép "normál" forgalmát.
Végül a vállalatok általában vásárlást végeznek, amit a vállalatnak tudnak tenni. A szokásos számviteli gyakorlat azt sugallja, hogy ezt a befektetés megtérülése vagy ROI alapján kell mérni. A könyvelők meg akarják érteni, ha pénzbe fektenek be egy új terméket vagy technológiát, mennyi ideig fog a termék vagy a technológia magának fizetni.
Sajnos a hálózati és számítógépbiztonsági termékek általában nem illenek ehhez a formához. A biztonság több fordított megtérülést eredményez. Ha a biztonsági termék vagy a technológia a tervek szerint működik, a hálózat biztonságban marad - de nem lesz "nyereség" a ROI méréséről. Meg kell nézni a fordított azonban, és fontolja meg, hogy mennyi a vállalat elveszítheti, ha a termék vagy a technológia nem a helyén. Mennyi pénzt kellene fordítani a szerverek újjáépítésére, az adatok helyreállítására, a technikai személyzetnek a támadás után történő megtisztítására stb. Szánt időt és erőforrásokat? Ha a termék elmaradása jelentősen több pénzt veszthet el, mint a termék vagy a technológiai költségek, akkor valószínűleg ennek értelme van.