Πράγματα που πρέπει να αναζητήσετε σε αυτή την τελευταία γραμμή άμυνας
Η Layered Security είναι μια ευρέως αποδεκτή αρχή της ασφάλειας υπολογιστών και δικτύων (βλ. In Depth Security). Η βασική προϋπόθεση είναι ότι απαιτούνται πολλαπλά στρώματα άμυνας για την προστασία από την μεγάλη ποικιλία επιθέσεων και απειλών. Όχι μόνο μπορεί ένα προϊόν ή μια τεχνική να μην προστατεύει από κάθε πιθανή απειλή, απαιτώντας έτσι διαφορετικά προϊόντα για διαφορετικές απειλές, αλλά έχοντας πολλαπλές γραμμές άμυνας, ελπίζουμε ότι θα επιτρέψει σε ένα προϊόν να πιάσει πράγματα που μπορεί να έχουν γλιστρήσει πέρα από τις εξωτερικές άμυνες.
Υπάρχουν πολλές εφαρμογές και συσκευές που μπορείτε να χρησιμοποιήσετε για τα διάφορα επίπεδα - λογισμικό προστασίας από ιούς, τείχη προστασίας, IDS (Συστήματα ανίχνευσης εισβολών) και πολλά άλλα. Καθένας έχει μια ελαφρώς διαφορετική λειτουργία και προστατεύει από μια διαφορετική σειρά επιθέσεων με διαφορετικό τρόπο.
Μία από τις νεότερες τεχνολογίες είναι το σύστημα πρόληψης εισβολής IPS. Ένα IPS είναι κάπως σαν να συνδυάζει ένα IDS με ένα τείχος προστασίας. Ένα τυπικό IDS θα σας καταγράψει ή θα σας ειδοποιήσει για ύποπτη επισκεψιμότητα, αλλά η απάντηση σας έχει απομείνει. Ένα IPS έχει πολιτικές και κανόνες που συγκρίνει την κυκλοφορία δικτύου στο. Εάν οποιαδήποτε κίνηση παραβιάζει τις πολιτικές και τους κανόνες, το IPS μπορεί να ρυθμιστεί ώστε να ανταποκρίνεται παρά να σας ειδοποιεί απλά. Τυπικές απαντήσεις μπορεί να είναι να αποκλείσετε όλη την κίνηση από τη διεύθυνση IP πηγής ή να αποκλείσετε την εισερχόμενη κίνηση σε αυτή τη θύρα για να προστατέψετε προοδευτικά τον υπολογιστή ή το δίκτυο.
Υπάρχουν δικτυακά συστήματα πρόληψης εισβολής (NIPS) και υπάρχουν συστήματα πρόληψης εισβολής βασισμένα σε κεντρικούς υπολογιστές (HIPS). Παρόλο που μπορεί να είναι πιο δαπανηρή η εφαρμογή του HIPS - ειδικά σε ένα μεγάλο, επιχειρηματικό περιβάλλον, συνιστώ, όπου είναι δυνατόν, την ασφάλεια που βασίζεται στον κεντρικό υπολογιστή. Η παύση των εισβολών και των μολύνσεων σε επίπεδο επιμέρους σταθμού εργασίας μπορεί να είναι πολύ πιο αποτελεσματική κατά την παρεμπόδιση ή τουλάχιστον τη δημιουργία απειλών. Με αυτό κατά νου, εδώ είναι μια λίστα με πράγματα που πρέπει να αναζητήσετε σε μια λύση HIPS για το δίκτυό σας:
- Δεν βασίζεται στις υπογραφές : Οι υπογραφές - ή τα μοναδικά χαρακτηριστικά των γνωστών απειλών - είναι ένας από τους κύριους τρόπους που χρησιμοποιούνται από λογισμικό όπως η ανίχνευση ιών και εντοπισμός εισβολών (IDS). Η πτώση των υπογραφών είναι ότι είναι αντιδραστικές. Μια υπογραφή δεν μπορεί να αναπτυχθεί παρά μόνο όταν υπάρχει απειλή και θα μπορούσατε ενδεχομένως να επιτεθείτε πριν δημιουργηθεί η υπογραφή. Η λύση HIPS πρέπει να χρησιμοποιεί ανίχνευση βάσει υπογραφής μαζί με ανίχνευση που βασίζεται σε ανωμαλίες, η οποία καθορίζει μια βασική γραμμή της εμφάνισης της "κανονικής" δραστηριότητας δικτύου στο μηχάνημά σας και θα ανταποκρίνεται σε κάθε κίνηση που εμφανίζεται ασυνήθιστη. Για παράδειγμα, εάν ο υπολογιστής σας δεν χρησιμοποιεί ποτέ FTP και ξαφνικά κάποια απειλή προσπαθεί να ανοίξει μια σύνδεση FTP από τον υπολογιστή σας, το HIPS θα το ανιχνεύσει ως ανώμαλη δραστηριότητα.
- Λειτουργεί με τη διαμόρφωσή σας : Ορισμένες λύσεις HIPS ενδέχεται να είναι περιοριστικές όσον αφορά τα προγράμματα ή τις διαδικασίες που είναι σε θέση να παρακολουθούν και να προστατεύουν. Θα πρέπει να προσπαθήσετε να βρείτε ένα HIPS που είναι σε θέση να χειριστεί τα εμπορικά πακέτα από το ράφι, καθώς και οποιαδήποτε προσαρμοσμένες οικιακές εφαρμογές που μπορεί να χρησιμοποιείτε. Εάν δεν χρησιμοποιείτε προσαρμοσμένες εφαρμογές ή δεν θεωρείτε ότι αυτό αποτελεί σημαντικό πρόβλημα για το περιβάλλον σας, βεβαιωθείτε τουλάχιστον ότι η λύση HIPS προστατεύει τα προγράμματα και τις διαδικασίες που εκτελείτε.
- Σας επιτρέπει να δημιουργήσετε πολιτικές : Οι περισσότερες λύσεις HIPS έρχονται με ένα αρκετά ολοκληρωμένο σύνολο προκαθορισμένων πολιτικών και οι πωλητές συνήθως θα προσφέρουν ενημερώσεις ή θα απελευθερώνουν νέες πολιτικές για να παρέχουν μια συγκεκριμένη απάντηση για νέες απειλές ή επιθέσεις. Ωστόσο, είναι σημαντικό να έχετε τη δυνατότητα να δημιουργήσετε τις δικές σας πολιτικές σε περίπτωση που έχετε μια μοναδική απειλή που ο πωλητής δεν λαμβάνει υπόψη ή όταν εκδηλώνεται μια νέα απειλή και χρειάζεστε μια πολιτική για την υπεράσπιση του συστήματός σας πριν από την ο προμηθευτής έχει χρόνο για να κυκλοφορήσει μια ενημερωμένη έκδοση. Πρέπει να βεβαιωθείτε ότι το προϊόν που χρησιμοποιείτε όχι μόνο έχει τη δυνατότητα να δημιουργήσετε πολιτικές, αλλά ότι η δημιουργία πολιτικής είναι αρκετά απλή για να κατανοήσετε χωρίς εβδομάδες κατάρτισης ή δεξιοτήτων προγραμματισμού ειδικών.
- Παρέχει κεντρική αναφορά και διαχείριση : Ενώ μιλάμε για προστασία βασισμένη σε κεντρικούς υπολογιστές για μεμονωμένους διακομιστές ή σταθμούς εργασίας, οι λύσεις HIPS και NIPS είναι σχετικά ακριβές και έξω από το βασίλειο ενός τυπικού οικιακού χρήστη. Έτσι, ακόμη και όταν μιλάμε για HIPS, ίσως πρέπει να το εξετάσετε από την άποψη της ανάπτυξης του HIPS σε πιθανώς εκατοντάδες επιτραπέζιους υπολογιστές και διακομιστές σε ένα δίκτυο. Παρόλο που είναι ωραίο να έχετε προστασία σε επιμέρους επίπεδο γραφείου, η διαχείριση εκατοντάδων μεμονωμένων συστημάτων ή η προσπάθεια δημιουργίας μιας ενοποιημένης αναφοράς μπορεί να είναι σχεδόν αδύνατη χωρίς μια καλή λειτουργία κεντρικής αναφοράς και διαχείρισης. Κατά την επιλογή ενός προϊόντος, βεβαιωθείτε ότι έχει συγκεντρωτική αναφορά και διαχείριση, ώστε να μπορείτε να αναπτύξετε νέες πολιτικές σε όλα τα μηχανήματα ή να δημιουργήσετε αναφορές από όλα τα μηχανήματα από μια τοποθεσία.
Υπάρχουν μερικά άλλα πράγματα που πρέπει να έχετε κατά νου. Πρώτον, το HIPS και το NIPS δεν είναι "ασημένια σφαίρα" για ασφάλεια. Μπορούν να είναι μια μεγάλη προσθήκη σε μια ισχυρή, πολυεπίπεδη υπεράσπιση, συμπεριλαμβανομένων τείχη προστασίας και εφαρμογές προστασίας από ιούς, μεταξύ άλλων, αλλά δεν πρέπει να προσπαθήσουμε να αντικαταστήσουμε τις υπάρχουσες τεχνολογίες.
Δεύτερον, η αρχική εφαρμογή μιας λύσης HIPS μπορεί να είναι επίπονη. Η διαμόρφωση της ανίχνευσης που βασίζεται σε ανωμαλίες απαιτεί συχνά μια μεγάλη "συγκράτηση χεριών" για να βοηθήσει την εφαρμογή να καταλάβει τι είναι "κανονική" κυκλοφορία και τι όχι. Ενδέχεται να αντιμετωπίσετε μια σειρά ψευδών θετικών ή χαμένων αρνητικών, ενώ εργάζεστε για να καθορίσετε τη βασική γραμμή για αυτό που ορίζει την "κανονική" κίνηση για το μηχάνημά σας.
Τέλος, οι εταιρείες κάνουν γενικά αγορές βάσει του τι μπορούν να κάνουν για την εταιρεία. Σύμφωνα με την τυποποιημένη λογιστική πρακτική, αυτό μετράται με βάση την απόδοση της επένδυσης ή την απόδοση επένδυσης (ROI). Οι λογιστές θέλουν να καταλάβουν εάν επενδύουν ένα χρηματικό ποσό σε ένα νέο προϊόν ή τεχνολογία, πόσο καιρό θα χρειαστεί να πληρώσει ο ίδιος το προϊόν ή η τεχνολογία.
Δυστυχώς, τα προϊόντα ασφάλειας δικτύων και υπολογιστών δεν ταιριάζουν γενικά με αυτό το καλούπι. Η ασφάλεια λειτουργεί σε περισσότερο αντίστροφη απόδοση επένδυσης (ROI). Εάν το προϊόν ή η τεχνολογία ασφαλείας λειτουργεί όπως έχει σχεδιαστεί, το δίκτυο θα παραμείνει ασφαλές - αλλά δεν θα υπάρξει "κέρδος" για τη μέτρηση ενός ROI. Θα πρέπει να κοιτάξετε το αντίθετο αν και να εξετάσει πόσο θα μπορούσε να χάσει η εταιρεία αν το προϊόν ή η τεχνολογία δεν ήταν σε θέση. Πόσα χρήματα θα έπρεπε να δαπανηθούν για την ανοικοδόμηση των διακομιστών, την ανάκτηση δεδομένων, τον χρόνο και τους πόρους του αφιερώματος του τεχνικού προσωπικού για να καθαρίσει μετά από μια επίθεση κ.λπ .; Εάν δεν έχετε το προϊόν ενδέχεται να έχει ως αποτέλεσμα να χάσετε σημαντικά περισσότερα χρήματα από το κόστος προϊόντος ή τεχνολογίας για την υλοποίηση, τότε ίσως έχει νόημα να το κάνετε αυτό.