Stvari koje treba tražiti u ovoj posljednjoj liniji obrane
Slojevita sigurnost široko je prihvaćena načela sigurnosti računala i mreže (pogledajte Sigurnost u dubini). Osnovna pretpostavka je da je potrebno više slojeva obrane da se zaštiti od širokog spektra napada i prijetnji. Ne samo da jedan proizvod ili tehnika ne može štititi od svih mogućih prijetnji, stoga zahtijevaju različite proizvode za različite prijetnje, no s više linija obrane nadamo se da će jedan proizvod uhvatiti stvari koje su možda prošle pored vanjske obrane.
Postoji mnogo aplikacija i uređaja koji možete koristiti za različite slojeve - protuvirusni softver, vatrozid, IDS (Intrusion Detection Systems) i još mnogo toga. Svaki od njih ima malo drugačiju funkciju i štiti od različitih skupova napada na drugačiji način.
Jedna od novijih tehnologija je IPS-Intrusion Prevention System. IPS je nešto poput kombinacije IDS-a s vatrozidom. Tipični IDS će vas prijaviti ili upozoriti na sumnjivi promet, ali vam je odgovor ostavljen. IPS ima pravila i pravila koja uspoređuju mrežni promet. Ako bilo koji promet krši pravila i pravila, IPS može biti konfiguriran za odgovor, a ne samo vas upozoriti. Tipični odgovori mogu biti blokirati sav promet s izvorne IP adrese ili blokirati ulazni promet na tom priključku kako bi proaktivno zaštitili računalo ili mrežu.
Postoje mrežni sustavi za sprečavanje upada (NIPS) i postoje sustavi prevencije upada (HIPS) na hostu. Iako može biti skuplje implementirati HIPS-posebno u velikom, korporativnom okruženju, preporučujem sigurnost na hostu gdje god je to moguće. Zaustavljanje upada i infekcija na razini pojedinačne radne stanice može biti mnogo učinkovitije pri blokiranju ili barem sadržavanju prijetnji. S tim u vidu, ovdje je popis stvari koje treba tražiti u HIPS rješenju za vašu mrežu:
- Ne oslanja se na potpise : potpisi ili jedinstvene karakteristike poznatih prijetnji - jedan su od primarnih sredstava koja koriste softver poput antivirusnog i otkrivanja upada (IDS). Pad potpisa je da su reaktivni. Potpis se ne može razviti tek nakon što postoji prijetnja i potencijalno možete napasti prije nego što se potpis stvori. Vaša HIPS rješenja trebala bi koristiti detekciju temeljenu na potpisima i detekciju na temelju anomalije koja uspostavlja osnovu onoga što "normalna" mrežna aktivnost izgleda na vašem računalu i odgovoriti na bilo koji promet koji se čini neobičnim. Na primjer, ako vaše računalo nikad ne koristi FTP i odjednom neka prijetnja pokušava otvoriti FTP vezu s vašeg računala, HIPS će to otkriti kao anomalnu aktivnost.
- Radi s vašom konfiguracijom : Neka rješenja HIPS-a mogu biti restriktivna u smislu onoga što programi ili procesi mogu pratiti i zaštititi. Trebali biste pokušati pronaći HIPS koji je sposoban upravljati komercijalnim paketima s polica, kao i sve domaće prilagođene aplikacije koje možda koristite. Ako ne koristite prilagođene aplikacije ili ne smatrate da je to značajan problem za vašu okolinu, barem provjerite je li vaše HIPS rješenje štiti programe i procese kojima radite .
- Omogućuje stvaranje pravila : većina HIPS rješenja dolaze s prilično sveobuhvatnim skupom unaprijed definiranih pravila, a dobavljači obično nude nadopune ili objavljuju nova pravila kako bi pružili specifičan odgovor za nove prijetnje ili napade. Međutim, važno je da imate mogućnost stvaranja vlastitih pravila u slučaju da imate jedinstvenu prijetnju koju dobavljač ne preuzima ili kada se nova prijetnja eksplodira i trebate pravila za obranu vašeg sustava prije dobavljač ima vremena objaviti ažuriranje. Morate osigurati da proizvod koji upotrebljavate ne samo da ima mogućnost stvaranja pravila, već da je stvaranje pravila dovoljno jednostavno da biste ih razumjeli bez tjedna treninga ili stručnih vještina programiranja.
- Pruža centralno izvješćivanje i administraciju : Dok govorimo o zaštiti host-based za pojedinačne poslužitelje ili radne stanice, rješenja HIPS i NIPS relativno su skupe i izvan područja tipičnog kućnog korisnika. Dakle, čak i kada se govori o HIPS-u vjerojatno je trebate uzeti u obzir s gledišta implementacije HIPS-a na možda stotine stolnih računala i poslužitelja preko mreže. Iako je lijepo imati zaštitu na razini pojedinačne radne površine, administriranje stotina pojedinačnih sustava ili pokušavanje izrade konsolidiranog izvješća, gotovo je nemoguće bez dobrog središnjeg izvješćivanja i administriranja funkcije. Prilikom odabira proizvoda provjerite ima li centralno izvješćivanje i administraciju kako biste omogućili implementaciju novih pravila na sve strojeve ili za izradu izvješća sa svih strojeva s jedne lokacije.
Postoji još nekoliko stvari koje trebate imati na umu. Prvo, HIPS i NIPS nisu "srebrni metak" za sigurnost. Oni mogu biti odličan dodatak čvrstoj, slojevitoj obrani uključujući vatrozid i protuvirusne aplikacije između ostalog, ali ne bi trebalo pokušati zamijeniti postojeće tehnologije.
Drugo, početna provedba HIPS rješenja može biti mukotrpna. Konfiguriranje otkrivanja temeljene na anomaliji često zahtijeva mnogo "držanja ruku" kako bi aplikacija razumjela što je "normalno" promet i što nije. Tijekom rada možete ustanoviti niz lažnih pozitivnih ili propuštenih negativnih postavki za određivanje "normalnog" prometa za vaš stroj.
Na kraju, tvrtke općenito kupuju na temelju onoga što mogu učiniti za tvrtku. Standardna računovodstvena praksa predlaže da se to mjeri na temelju povrata ulaganja ili ROI-ja. Računovođe žele razumjeti ulažu li sumu novca u novi proizvod ili tehnologiju, koliko će vremena za proizvod ili tehnologiju platiti za sebe.
Nažalost, proizvodi za mrežu i računalnu sigurnost obično ne odgovaraju ovom plijesni. Sigurnost radi na više od obrnutog ROI-ja. Ako sigurnosni proizvod ili tehnologija funkcionira kako je dizajnirana, mreža će ostati sigurna - ali neće biti "profit" za mjerenje ROI-ja. Morate ipak pogledati obrnuto i razmotrite koliko tvrtka može izgubiti ako proizvod ili tehnologija nisu na mjestu. Koliko novca bi trebalo potrošiti na obnovu poslužitelja, oporavak podataka, vrijeme i sredstva posvećivanja tehničkog osoblja za čišćenje nakon napada, itd.? Ako ne uzimajući u obzir da proizvod može potencijalno rezultirati gubitkom znatno više novca od troškova proizvoda ili tehnologije, onda je to možda smisleno.