Asjad, mida selles viimases kaitseliinil otsida
Kihiline turvalisus on laialdaselt aktsepteeritud arvuti- ja võrguturbe põhimõte (vt sügavuti turvalisus). Peamine eeldus on see, et kaitseb mitmesuguseid rünnakuid ja ohte, et kaitsta mitut kaitset. Mitte ainult ei saa ükski toode või tehnika mitte kaitsta igasuguse ohu eest, mistõttu on erinevate ohtude jaoks vaja erinevaid tooteid, kuid millel on mitu kaitseliini, võimaldab loodetavasti üks toode püüda asju, mis võivad libiseda välimisest kaitsevööndist.
Seal on palju rakendusi ja seadmeid, mida saate kasutada erinevate kihtide jaoks - viirusetõrje tarkvara, tulemüürid, IDS (sissetungimise tuvastamise süsteemid) ja muud. Igaühel on pisut teistsugune funktsioon ja see kaitseb erineval hulgal rünnakuid erineval viisil.
Üks uuemaid tehnoloogiaid on IPS-sissetungimise ennetamise süsteem. IPS on mõnevõrra sarnane tulemüüri IDS-i ühendamisega. Tüüpiline IDS salvestab või hoiatab teid kahtlase liikluse eest, kuid vastus on teile jäetud. IPSil on eeskirjad ja eeskirjad, millega võrreldakse võrguliiklust. Kui mis tahes liiklus rikub eeskirju ja reegleid, saab IPSi konfigureerida vastama, mitte lihtsalt hoiatama teid. Tüüpilised vastused võivad olla blokeerida kogu liiklus allika IP-aadressilt või blokeerida selle porti sissetulev liiklus, et arvuti või võrk ennetavalt kaitsta.
On olemas võrgupõhised sissetungimise ennetamise süsteemid (NIPS) ja seal on host-põhised sissetungimise ennetamise süsteemid (HIPS). Kuigi HIPS-i rakendamine võib olla kallim, seda eriti suurtes ärikeskkondades, soovitan võimaluse korral hostipõhist turvalisust. Intrusioonide ja nakkuste peatamine üksikute töökohtade tasemel võib olla palju tõhusam blokeerimisel või vähemalt ohu korral. Seda silmas pidades on siin nimekiri asjadest, mida otsida võrgu HIPS-lahendus:
- Allkirjad ei sõltu allkirjastest : tuntud ohtude allkirjad - või unikaalsed omadused - on üks peamistest vahenditest, mida tarkvara kasutab nagu viirusetõrje ja sissetungimise avastamine (IDS). Allkirjade lagunemine seisneb selles, et nad on reageerivad. Allkirja ei saa arendada enne, kui oht on olemas ja võite rünnata enne allkirja loomist. Teie HIPSi lahendus peaks kasutama allkirjapõhist avastamist koos anomaaliapõhise avastamisega, mis määrab kindlaks, milline "tavaline" võrgu tegevus näeb välja teie masinas ja reageerib igale ebatavalisele liiklusele. Näiteks kui teie arvuti ei kasuta kunagi FTP-d ja äkki üritab mõni oht arvutist avada FTP-ühendust, tuvastab HIPS selle kui anomaalse tegevuse.
- Teie konfiguratsiooniga toimib : mõned HIPSi lahendused võivad olla piiratud nende programmide või protsessidega, mida nad suudavad jälgida ja kaitsta. Sa peaksid proovima leida HIPS-i, mis suudab käsitseda riiulil olevaid kaubanduslikke pakette, samuti kõiki kodus kasvatatud kohandatud rakendusi, mida võite kasutada. Kui te ei kasuta kohandatud rakendusi ega arvata, et see on teie keskkonnale oluline probleem, veenduge vähemalt, et teie HIPS-lahendus kaitseb teie käivitatavaid programme ja protsesse.
- Võimaldab teil luua eeskirju : enamik HIPS-i lahendusi on varustatud üsna põhjaliku eelnevalt määratletud poliitikate kogumiga ja tarnijad pakuvad tavaliselt uusi värskendusi või vabastavad uued eeskirjad, et pakkuda konkreetseid vastuseid uutele ohtudele või rünnakutele. Siiski on oluline, et teil on võimalus oma enda poliitikat luua, kui teil on ainulaadne oht, et tarnija ei loe ega uut ohtu plahvatada, ja teil on vaja oma süsteemi kaitsmiseks enne müüjal on aega värskenduse avaldamine. Peate veenduma, et kasutatav toode mitte ainult ei suuda teil poliitikat luua, kuid selle loomisel on piisavalt lihtne, et saaksite aru saada ilma nädalate treenimiseta või ekspertide programmeerimisoskustega.
- Keskne aruandlus ja haldamine : Kuigi me räägime individuaalsetest serveritest või tööjaamadest serveripõhise kaitse saamiseks, on HIPSi ja NIPS-i lahendused suhteliselt kallid ja tüüpilise kodukasutaja valdkonnast väljaspool. Seega, isegi kui räägite HIPSist, peate tõenäoliselt seda arvestama HIPSi kasutuselevõtmise seisukohalt võrgul võimalike sadade serverite ja serveritega. Kuigi on mõnus kaitse üksikute töölaua tasandil, on sadade üksikute süsteemide haldamine või konsolideeritud aruande koostamine peaaegu võimatu ilma hea keskne aruandluse ja haldamise funktsioonita. Toote valimisel veenduge, et teil on tsentraliseeritud aruandlus ja haldamine, mis võimaldab teil rakendada uusi eeskirju kõikidele masinatele või luua kõikidelt masinatelt aruanded ühest kohast.
Teil on veel mõned asjad, mida peate meeles pidama. Esiteks, HIPS ja NIPS ei ole turvalisuse tagamiseks "hõbetükk". Need võivad olla suurepärane lisaks tahkele kihilisele kaitsele ka tulemüürid ja viirusetõrjerakendused, kuid ei tohiks püüda olemasolevaid tehnoloogiaid asendada.
Teiseks võib HIPS-i lahenduse esialgne rakendamine olla hoolikas. Anomaaliapõhise avastamise konfigureerimine nõuab sageli palju "käeshoitavat", mis aitab rakendusel mõista, mis on "tavaline" liiklus ja mis mitte. Võite kogeda mitmeid valepositiivseid või vastamata jäänud negatiivseid näitajaid, kui teete töö algtaseme kindlaksmääramiseks, mis määratleb teie seadme tavapärase liikluse.
Lõpuks teevad ettevõtted tavaliselt oste, mis põhinevad sellel, mida nad saavad ettevõtte jaoks teha. Standardne arvestuspraktika näitab, et seda mõõdetakse investeeringu tasuvuse või ROI alusel. Raamatupartnerid tahavad mõista, kas nad investeerivad uue toote või tehnoloogia rahasumma, kui kaua kulub toote või tehnoloogia eest ise tasu maksmiseks.
Kahjuks ei sobi võrgu- ja arvutiturbe tooted sellele vormile üldiselt. Turvalisus töötab rohkem reverse ROI-d. Kui turvatoode või -tehnoloogia töötab nii, nagu projekteeritud, jääb võrk ohutuks, kuid ROI mõõtmiseks pole kasumit. Peate vaatama vastupidi ja kaaluma, kui palju võiks ettevõte kaotada, kui toodet või tehnoloogiat ei oleks. Kui palju raha peaks kulutama serverite taastamiseks, andmete taastamiseks, tehnilise personali pühendumiseks aja ja ressursside eraldamiseks pärast rünnaku puhastamist jne? Kui toote puudumine võib põhjustada märkimisväärselt suurema raha kaotamise kui toote või tehnoloogia kulude rakendamine, siis võib-olla on see mõistlik seda teha.