Tämän viimeisen puolustuslinjan etsimistä
Tasotettu suojaus on laajalti hyväksytty tietokone- ja verkkoturvallisuusperiaate (ks. Syvyyssuojaus). Peruslähtökohtana on se, että se vaatii useita puolustusmateriaaleja suojelemaan hyökkäyksiä ja uhkia vastaan. Ei vain, että jokin tuote tai tekniikka suojaa kaikkia mahdollisia uhkia vastaan, joten se vaatii erilaisia tuotteita erilaisiin uhkiin, mutta useilla puolustustasoilla toivottavasti jokin tuote saa kiinni sellaisia asioita, jotka ovat saattaneet ohittaa ulkoisen puolustuksen.
On olemassa runsaasti sovelluksia ja laitteita, joita voit käyttää eri tasoilla - virustorjuntaohjelmisto, palomuurit, IDS (Intrusion Detection Systems) ja paljon muuta. Jokaisella on hieman erilainen toiminta ja suojaa erilaisilta hyökkäyksiltä eri tavalla.
Yksi uudemmista tekniikoista on IPS-tunkeutumisen estojärjestelmä. IPS on jonkin verran kuin yhdistämällä IDS palomuuriin. Tyypillinen IDS kirjautuu tai varoittaa sinut epäilyttävään liikenteeseen, mutta vastaus jätetään sinulle. IPS: llä on käytännöt ja säännöt, jotka vertaavat verkkoliikennettä. Jos jokin liikenne rikkoo sääntöjä ja sääntöjä, IPS voidaan konfiguroida vastaamaan pelkästään hälytykseen. Tyypilliset vastaukset saattavat estää kaiken liikenteen lähteen IP-osoitteesta tai estää tulevan liikenteen kyseisellä portilla tietokoneen tai verkon suojaamiseksi proaktiivisesti.
On olemassa verkkopohjaisia tunkeutumisen estojärjestelmiä (NIPS) ja isäntäperusteisia tunkeutumisen estojärjestelmiä (HIPS). Vaikka HIPS-järjestelmän toteuttaminen voi olla kalliimpaa - varsinkin suuressa yritysympäristössä, suosittelen isäntäperustaista turvallisuutta aina, kun se on mahdollista. Yksittäisen työaseman tasolla tapahtuvien tunkeutumisen ja infektioiden pysäyttäminen voi olla paljon tehokkaampi estää tai ainakin sisältää uhkia. Tässä mielessä tässä on luettelo asioista, jotka on etsittävä verkon HIPS-ratkaisussa:
- Ei tue allekirjoituksia : Allekirjoitukset tai tunnettujen uhkien ainutlaatuiset ominaisuudet ovat yksi tärkeimmistä välineistä, joita ohjelmistot käyttävät esimerkiksi antivirus ja tunkeutumisen tunnistus (IDS). Allekirjoitusta ei voi kehittää vasta, kun uhka on olemassa ja voit mahdollisesti hyökätä ennen allekirjoituksen luomista. HIPS-ratkaisusi tulisi käyttää allekirjoituspohjaista havaitsemista sekä anomaliikenteeseen perustuvaa havaitsemista, joka määrittää perustan siitä, mitä "normaali" verkkoaktiviteetti näyttää koneellasi ja vastaa mihin tahansa epätavalliseen liikenteeseen. Esimerkiksi jos tietokone ei koskaan käytä FTP-protokollaa ja yhtäkkiä uhka yrittää avata FTP-yhteyden tietokoneestasi, HIPS havaitsisi tämän poikkeuksellisena toimintana.
- Toimii kokoonpanon kanssa : Jotkin HIPS-ratkaisut saattavat olla rajoittavia mitä ohjelmia tai prosesseja he voivat seurata ja suojata. Sinun pitäisi yrittää löytää HIPS, joka pystyy käsittelemään kaupallisia paketteja hyllyltä sekä kotona kasvatetuista mukautetuista sovelluksista, joita voit käyttää. Jos et käytä mukautettuja sovelluksia tai pidä tätä merkittävänä ongelmana ympäristössäsi, varmista ainakin, että HIPS-ratkaisu suojaa ohjelmia ja suorittamia prosesseja.
- Sallii luoda käytäntöjä : Useimmat HIPS-ratkaisut sisältävät melko kattavan joukon ennalta määritettyjä käytäntöjä ja myyjät tarjoavat tyypillisesti päivityksiä tai julkaisevat uusia toimintatapoja, jotta saadaan aikaan erityinen vastaus uusille uhkauksille tai hyökkäyksille. On kuitenkin tärkeää, että sinulla on mahdollisuus luoda omia käytäntöjäsi, jos sinulla on ainutlaatuinen uhka, jota myyjä ei ota huomioon tai kun uusi uhka räjähtää ja tarvitset käytäntöä puolustaa järjestelmääsi ennen myyjillä on aika vapauttaa päivitys. Sinun on varmistettava, että käyttämäsi tuotteen lisäksi sinulla on kyky luoda käytäntöjä, mutta politiikan luominen on yksinkertaista, jotta voit ymmärtää ilman viikkoja koulutuksesta tai asiantuntevasta ohjelmointitaidoista.
- Tarjoaa keskitettyä raportointia ja hallintoa : Samalla kun puhumme isäntäperusteisesta suojasta yksittäisille palvelimille tai työasemille, HIPS- ja NIPS-ratkaisut ovat suhteellisen kalliita ja tyypillisen kotikäyttäjän ulkopuolella. Joten, vaikka puhutaan HIPS: stä, sinun on todennäköisesti otettava se huomioon HIPS: n käyttöönotossa mahdollisesti satoja työpöytiä ja palvelimia verkossa. Vaikka onkin mukavaa saada suojaa yksittäisen työpöydän tasolla, hallita satoja yksittäisiä järjestelmiä tai yrittää luoda konsolidoitu raportti, se voi olla lähes mahdotonta ilman hyvää keskeistä raportointia ja hallinnointia. Valitsemalla tuotteen voit varmistaa, että sillä on keskitetty raportointi ja hallinnointi, jotta voit ottaa käyttöön uudet käytännöt kaikille koneille tai luoda raportteja kaikista koneista yhdestä paikasta.
On muutamia muita asioita, jotka sinun pitää muistaa. Ensinnäkin HIPS ja NIPS eivät ole "hopea" luotettavuutta. Ne voivat olla erinomainen lisä kiinteän, kerrostetun puolustuksen lisäksi muun muassa palomuureihin ja virustorjuntaohjelmiin, mutta niiden ei pitäisi yrittää korvata nykyisiä tekniikoita.
Toiseksi, HIPS-ratkaisun alkuvaiheen toteutus voi olla hankalaa. Anomaly-pohjaisen havaitsemisen määrittäminen edellyttää usein paljon "kädessä pitämistä", jotta sovellus ymmärtäisi, mikä on "normaali" liikenne ja mikä ei ole. Saatat kokea useita vääriä positiivisia tai epäonnistuneita negatiivisia tekijöitä, kun työskentelet peruskohdan määrittämiseksi, mikä määrittää laitteen normaalin liikenteen.
Lopuksi yritykset yleensä tekevät ostoksia sen perusteella, mitä he voivat tehdä yritykselle. Tavallinen tilinpäätöskäytäntö viittaa siihen, että tämä mitataan sijoitetun pääoman tuoton tai sijoitetun pääoman tuottoprosentin perusteella. Kirjanpitäjät haluavat ymmärtää, jos he investoivat rahasumman uuteen tuotteeseen tai teknologiaan, kuinka kauan tuote tai teknologia maksaa itselleen.
Valitettavasti verkko- ja tietoturvatuotteita ei yleensä sovi tähän muottiin. Turvallisuus toimii enemmän käänteisen ROI: n avulla. Jos tietoturvatuote tai -tekniikka toimii suunnitellulla tavalla, verkko säilyy turvallisena - mutta ei "voittoa" mittaamaan sijoitetun pääoman tuottoprosenttia. Sinun on kuitenkin tarkasteltava taaksepäin ja pohdittava, kuinka paljon yritys voisi menettää, jos tuote tai teknologia eivät ole paikallaan. Kuinka paljon rahaa olisi käytettävä palvelimien jälleenrakentamiseen, tietojen talteenottoon, teknisen henkilöstön omistamiseen ja resursseihin, jotta se voitaisiin puhdistaa hyökkäyksen jälkeen? Jos tuotteen puuttuminen voi johtaa menettämiseen huomattavasti enemmän rahaa kuin tuotteen tai teknologian kustannukset toteutettava, niin ehkä on järkevää tehdä niin.