Lietas, ko meklēt šajā pēdējā aizsardzības līnijā
Slāņainā drošība ir plaši atzīts datora un tīkla drošības princips (skat. In Depth Security). Galvenais priekšnoteikums ir tas, ka tas aizņem vairākus aizsardzības līmeņus, lai aizsargātu pret dažādiem uzbrukumiem un draudiem. Ne tikai viens produkts vai tehnika var neaizsargāt pret visiem iespējamiem draudiem, tādēļ, pieprasot atšķirīgus produktus dažādiem draudiem, bet, izmantojot vairākas aizsardzības līnijas, viens produkts, iespējams, ļaus kādam produktam noķert lietas, kuras varēja noklāt garām malām.
Ir daudz lietojumprogrammu un ierīču, ko var izmantot dažādiem slāņiem - pretvīrusu programmatūru, ugunsmūrus, IDS (ielaušanās atklāšanas sistēmas) un daudz ko citu. Katrai no tām ir nedaudz atšķirīga funkcija un tas no cita uzbrukumu kompleksa tiek aizsargāts citādi.
Viena no jaunākajām tehnoloģijām ir IPS ielaušanās novēršanas sistēma. IPS ir nedaudz līdzīgs IDS apvienošanai ar ugunsmūri. Tipisks IDS reģistrēs vai brīdinās jūs par aizdomīgu datplūsmu, taču atbilde ir jums atstāta. IPS ir politikas un noteikumi, pēc kuriem tā salīdzina tīkla trafiku ar. Ja kāda satiksme pārkāpj politiku un noteikumus, IPS var konfigurēt, lai reaģētu, nevis vienkārši brīdinātu jūs. Tipiski atbildes var būt bloķēt visas datplūsmas no avota IP adreses vai bloķēt ienākošos datplūsmu šajā ostā, lai aktīvi aizsargātu datoru vai tīklu.
Ir tīkla balstītas ielaušanās novēršanas sistēmas (NIPS), un uz ielūgumiem balstītas ielaušanās novēršanas sistēmas (HIPS). Kaut arī HIPS ieviešana var būt dārgāka, jo īpaši lielā uzņēmējdarbības vidē, es iesaku, ja vien tas ir iespējams, uzņēmēja bāzes drošību. Ierobežojumi un infekcijas pārtraukšana atsevišķā darbstacijas līmenī var daudz efektīvāk bloķēt vai vismaz saturēt draudus. Paturot to prātā, šeit ir saraksts ar lietām, ko meklējiet HIPS risinājumā savam tīklam:
- Nav paļauties uz parakstiem : paraksti vai unikālas zināmo draudu īpašības - ir viens no galvenajiem līdzekļiem, ko izmanto programmatūra, piemēram, pretvīrusu un ielaušanās atklāšana (IDS). Parakstu sabrukums ir tas, ka tie ir reaģējoši. Parakstu nevar izveidot tikai pēc tam, kad pastāv draudi, un, pirms tiek izveidots paraksts, potenciāli var tikt uzbrukts. Jūsu HIPS risinājumam ir jāizmanto parakstu bāzēta atrašana kopā ar anomāliju bāzētu noteikšanu, kas nosaka sākumstāvokli par to, kāda ir "parastā" tīkla darbība, kas izskatās jūsu datorā, un reaģēs uz jebkuru trafiku, kas šķiet neparasta. Piemēram, ja jūsu dators nekad neizmanto FTP un pēkšņi daži draudi mēģina atvērt FTP savienojumu no sava datora, HIPS to atklātu kā anomālu darbību.
- Darbojas ar konfigurāciju : daži HIPS risinājumi var būt ierobežojoši attiecībā uz programmām vai procesiem, kurus tās spēj uzraudzīt un aizsargāt. Jums vajadzētu mēģināt atrast HIPS, kas spēj apstrādāt komerciālos iepakojumus pie plaukta, kā arī jebkuras mājas izejošas pielāgotas lietojumprogrammas, kuras jūs izmantojat. Ja neizmantojat pielāgotas lietojumprogrammas vai neuzskata to par būtisku jūsu vides problēmu, vismaz jānodrošina, lai jūsu HIPS risinājums aizsargātu jūsu darbojošās programmas un procesus.
- Ļauj veidot politiku : lielākā daļa HIPS risinājumu ir ar diezgan visaptverošu iepriekš noteiktu politiku kopumu, un pārdevēji parasti piedāvā atjauninājumus vai jaunas politikas, lai sniegtu konkrētu atbildi par jauniem draudiem vai uzbrukumiem. Tomēr ir svarīgi, lai jums būtu iespēja veidot savu politiku gadījumā, ja jums ir unikāls drauds, ka pārdevējs nav atbildīgs vai ja jauni draudi ir eksplodējoši, un jums ir nepieciešama politika, lai aizstāvētu savu sistēmu pirms pārdevējam ir laiks atbrīvot atjauninājumu. Jums ir jāpārliecinās, ka jūsu izmantotais produkts ne tikai jums ļauj veidot politikas, bet šī politika ir tik vienkārši izveidota, lai jūs varētu saprast bez nedēļu apmācības vai ekspertu programmēšanas iemaņām.
- Nodrošina centrālo ziņošanu un administrēšanu . Lai gan mēs runājam par resursiem, kuru pamatā ir atsevišķu serveru vai darbstaciju aizsardzība, HIPS un NIPS risinājumi ir relatīvi dārgi un ārpus tipiska mājas lietotāja realitātes. Tātad, pat runājot par HIPS, jums, iespējams, vajadzētu to ņemt vērā no HIPS izvietošanas viedokļa, iespējams, simtiem galddatoru un serveru visā tīklā. Lai gan ir patīkami nodrošināt aizsardzību atsevišķā darbvirsmas līmenī, simtiem atsevišķu sistēmu pārvaldīšana vai mēģinājums izveidot konsolidētu pārskatu gandrīz neiespējami bez labas centrālās ziņošanas un administrēšanas funkcijas. Izvēloties produktu, pārliecinieties, ka tajā ir centralizēta pārskatu sniegšana un administrēšana, lai jūs varētu izvietot jaunas politikas visām mašīnām vai izveidot ziņojumus no visām mašīnām no vienas vietas.
Ir dažas citas lietas, kas jums jāpatur prātā. Pirmkārt, HIPS un NIPS nav "sudraba lodīte" drošībai. Cita starpā tās var būt lielisks papildinājums cietai, slāņveida aizsardzībai, tostarp ugunsmūriem un pretvīrusu lietojumprogrammām, bet nevajadzētu mēģināt aizvietot esošās tehnoloģijas.
Otrkārt, sākotnējā HIPS risinājuma ieviešana var būt rūpīga. Konfigurējot anomāliju balstītu atklāšanu, bieži vien ir nepieciešams liels daudzums "roku turēšanas", lai palīdzētu pieteikumam saprast, kas ir "normāla" satiksme un kas nav. Strādājot, lai noteiktu bāzes līniju, kas nosaka jūsu parasto trafiku, var rasties vairāki viltus pozitīvi vai garām negatīvi.
Visbeidzot, uzņēmumi parasti veic pirkumus, pamatojoties uz to, ko viņi var darīt uzņēmumam. Standarta uzskaites prakse liecina, ka to mēra, pamatojoties uz ieguldījumu atdevi vai IA. Grāmatveži vēlas saprast, vai viņi iegulda naudas summu jaunā produktā vai tehnoloģijā, cik ilgi tas būs nepieciešams, lai produktu vai tehnoloģiju varētu maksāt par sevi.
Diemžēl tīkla un datoru drošības produkti parasti neatbilst šai pelējuma formai. Drošība darbojas vairāk nekā reverse-ROI. Ja drošības produkts vai tehnoloģija darbojas tā, kā paredzēts, tīkls paliks drošs, bet no "peļņas", lai noteiktu ROI no tā, nebūs. Jums ir jāaplūko otrādi, un jāapsver, cik daudz uzņēmums varētu zaudēt, ja produkts vai tehnoloģija nebūtu izveidota. Cik daudz naudas vajadzētu iztērēt serveru atjaunošanai, datu atgūšanai, tehniskā personāla piešķiršanai paredzētajam laikam un resursiem, lai veiktu uzkopšanu pēc uzbrukuma utt? Ja produkta trūkums potenciāli var izraisīt ievērojami vairāk naudas nekā produkta vai tehnoloģiju izmaksu ieviešana, iespējams, tam ir jēga to izdarīt.