Čo treba hľadať v tejto poslednej línii obrany
Vrstvená bezpečnosť je všeobecne uznávaným princípom zabezpečenia počítača a siete (pozri Zabezpečenie v hĺbke). Základným predpokladom je, že na ochranu pred širokou škálou útokov a hrozieb je potrebných niekoľko vrstiev obrany. Nielenže môže jeden výrobok alebo technika chrániť pred každou možnou hrozbou, a preto vyžadujú rôzne produkty pre rôzne hrozby, ale s viacerými obrannými líniami, dúfajme, že jeden výrobok umožní zachytiť veci, ktoré môžu prejsť cez vonkajšiu obranu.
Existuje veľa aplikácií a zariadení, ktoré môžete použiť pre rôzne vrstvy - antivírusový softvér, firewally, IDS (systémy detekcie narušení) a ďalšie. Každý z nich má mierne odlišnú funkciu a inak chráni pred iným súborom útokov.
Jednou z novších technológií je systém IPS - Intrusion Prevention System. IPS je trochu ako kombinovanie IDS s firewallom. Typický identifikátor IDS vás bude prihlásiť alebo upozorniť na podozrivú návštevnosť, ale odpoveď vám ponechá. Služba IPS má pravidlá a pravidlá, ktoré porovnáva sieťovú návštevnosť. Ak nejaká návštevnosť porušuje pravidlá a pravidlá, systém IPS môže byť nakonfigurovaný tak, aby reagoval skôr ako jednoducho vás upozornil. Typickými odpoveďami môže byť zablokovanie všetkej návštevnosti zo zdrojovej adresy IP alebo zablokovanie prichádzajúcej návštevnosti na danom portu na proaktívnu ochranu počítača alebo siete.
Existujú sieťové systémy na prevenciu narušenia (NIPS) a existujú hostiteľské systémy na prevenciu proti vniknutiu (HIPS). Zatiaľ čo môže byť nákladnejšie implementovať systém HIPS - najmä vo veľkom podnikovom prostredí, doporučujem, kde je to možné, hostiteľskú bezpečnosť. Zastavenie narušenia a infekcií na úrovni jednotlivých pracovných staníc môže byť oveľa účinnejšie pri blokovaní alebo aspoň s obsahom hrozieb. S týmto upozornením je zoznam vecí, ktoré môžete hľadať v riešení HIPS pre vašu sieť:
- Nespolieha sa na podpisy : Podpisy - alebo jedinečné charakteristiky známych hrozieb - sú jedným z hlavných prostriedkov používaných softvérom, ako je antivírusová detekcia a detekcia narušenia (IDS). Pád podpisov je taký, že sú reaktívne. Podpis sa nedá vyvíjať až po hrozbe, a pred podpisom podpisu by ste mohli byť napadnutí. Riešenie HIPS by malo používať detekciu založenú na podpisoch spolu s detekciou založenou na anomáliách, ktorá stanovuje základnú líniu toho, čo "normálna" sieťová aktivita vyzerá na vašom počítači a reaguje na akúkoľvek nezvyčajnú prevádzku. Napríklad, ak váš počítač nikdy nepoužíva FTP a náhle sa niektoré hrozby pokúsia otvoriť FTP pripojenie z vášho počítača, HIPS to zistí ako neobvyklú aktivitu.
- Pracuje s konfiguráciou : Niektoré riešenia HIPS môžu byť reštriktívne z hľadiska toho, aké programy alebo procesy sú schopné monitorovať a chrániť. Mali by ste sa pokúsiť nájsť HIPS, ktorý je schopný manipulovať s komerčnými balíčkami mimo políc, rovnako ako všetky domáce aplikácie, ktoré používate. Ak nepoužívate vlastné aplikácie alebo nepovažujete to za významný problém pre vaše prostredie, aspoň sa uistite, že vaše riešenie HIPS chráni bežné programy a procesy.
- Umožňuje vytvoriť pravidlá : Väčšina riešení HIPS je vybavená pomerne komplexným súborom vopred definovaných pravidiel a dodávatelia zvyčajne ponúkajú aktualizácie alebo uvoľňujú nové pravidlá na poskytnutie špecifickej odpovede na nové hrozby alebo útoky. Je však dôležité, aby ste mali možnosť vytvárať vlastné pravidlá v prípade, že máte jedinečnú hrozbu, že predajca neúčtuje, alebo keď vybuchne nová hrozba, a potrebujete politiku na obranu vášho systému pred Dodávateľ má čas na vydanie aktualizácie. Musíte sa uistiť, že produkt, ktorý používate, má nielen schopnosť vytvárať pravidlá, ale že tvorba politiky je dosť jednoduchá, aby ste pochopili bez týždňov tréningov alebo odborných programovacích zručností.
- Poskytuje centrálne oznamovanie a správu : Aj keď hovoríme o hostiteľskej ochrane pre jednotlivé servery alebo pracovné stanice, riešenia HIPS a NIPS sú relatívne drahé a mimo sféry typického domáceho používateľa. Takže aj keď hovoríte o HIPS, pravdepodobne by ste to mali zvážiť z hľadiska nasadenia HIPS na asi stovky desktopov a serverov v sieti. Hoci je pekné mať ochranu na úrovni jednotlivých pracovných staníc, spravovanie stoviek jednotlivých systémov alebo pokus o vytvorenie konsolidovanej správy môže byť takmer nemožné bez dobrého centrálneho hlásenia a správy funkcií. Pri výbere produktu sa uistite, že má centralizované spravovanie prehľadov a správy, aby ste mohli nasadiť nové pravidlá pre všetky počítače alebo vytvárať prehľady zo všetkých strojov z jedného miesta.
Existuje niekoľko ďalších vecí, ktoré musíte mať na pamäti. Po prvé, HIPS a NIPS nie sú "striebornou guľou" pre bezpečnosť. Môžu byť skvelým doplnkom pevnej, vrstvenej obrany, ktorá okrem iného zahŕňa firewally a antivírusové aplikácie, ale nemala by sa snažiť nahradiť existujúce technológie.
Po druhé, počiatočná implementácia riešenia HIPS môže byť pekne. Konfigurácia detekcie založenej na anomáliách často vyžaduje veľa "držania ruky", aby pomohla aplikácii pochopiť, čo je "bežná" prevádzka a čo nie. Môžete zaznamenať množstvo falošných pozitív alebo zmeškaných negatívov, zatiaľ čo pracujete na stanovení základnej úrovne toho, čo určuje "normálnu" prevádzku vášho zariadenia.
Spoločnosti nakoniec nakupujú na základe toho, čo môžu spoločnosti robiť. Štandardná účtovná prax naznačuje, že sa meria na základe návratnosti investícií alebo návratnosti investícií. Účtovatelia chcú pochopiť, či investujú sumu peňazí do nového produktu alebo technológie, ako dlho bude trvať, kým produkt alebo technológia zaplatí za seba.
Bohužiaľ, sieťové a počítačové bezpečnostné produkty vo všeobecnosti nezapadajú do tejto formy. Bezpečnosť pracuje na väčšej návratnosti investícií. Ak bezpečnostný produkt alebo technológia funguje tak, ako je navrhnuté, sieť zostane bezpečná, ale nebude existovať žiadny "zisk" na meranie návratnosti investícií. Musíte sa však pozrieť naopak a zvážiť, koľko by spoločnosť mohla stratiť, ak by výrobok alebo technológia neboli zavedené. Koľko peňazí by bolo potrebné vynaložiť na obnovu serverov, obnovu údajov, čas a zdroje venovania technického personálu na vyčistenie po útoku atď.? Ak nemáte výrobok, môže to mať za následok stratu podstatne väčšieho množstva peňazí, než náklady na realizáciu produktu alebo technológie, možno to má zmysel urobiť.