Stvari koje treba tražiti u ovoj poslednjoj liniji odbrane
Layered security je široko prihvaćen princip računarske i mrežne sigurnosti (pogledajte In Depth Security). Osnovna pretpostavka je da uzima više slojeva odbrane kako bi se zaštitila od širokog spektra napada i pretnji. Ne samo da jedan proizvod ili tehnika ne može zaštititi od svake moguće pretnje, stoga zahtevaju različite proizvode za različite pretnje, ali imaju više linija odbrane nadamo se da će jedan proizvod moći da uhvati stvari koje su možda prolazile kroz vanjske odbrane.
Postoji mnogo aplikacija i uređaja koje možete koristiti za različite slojeve - antivirusni softver, zaštitne zidove, IDS (sistem za otkrivanje intrusion-a) i još mnogo toga. Svaka ima nešto drugačiju funkciju i štiti od drugačijeg seta napada na drugačiji način.
Jedna od novijih tehnologija je sistem za sprečavanje upada IPS-a. IPS je nešto poput kombinovanja IDS-a sa zaštitnim zidom. Tipični IDS će vas prijaviti ili upozoriti na sumnjivi saobraćaj, ali odgovor vam je ostavljen. IPS ima smernice i pravila u kojima upoređuje mrežni saobraćaj. Ako bilo koji saobraćaj krši pravila i pravila, IPS se može konfigurisati da odgovori, a ne samo da vas upozorava. Tipični odgovori mogu biti blokiranje celokupnog saobraćaja sa izvorne IP adrese ili blokiranje dolaznog saobraćaja na tom portu kako bi proaktivno zaštitili računar ili mrežu.
Postoje mrežni sistemi za sprečavanje upada (NIPS) i postoje sistemi za sprečavanje upada protiv intrusion-a (HIPS). Iako može biti skuplje za implementaciju HIPS-a naročito u velikom, preduzetničkom okruženju, preporučujem bezbednost zasnovanu na hostovima gdje god je to moguće. Zaustavljanje napada i infekcija na nivou pojedinačnog radnog mesta može biti mnogo efikasnije pri blokiranju ili bar pri tome prijetnji. Imajući to u vidu, ovdje je lista stvari koje treba tražiti u rješenju HIPS-a za vašu mrežu:
- Ne oslanja se na potpise : potpisi ili jedinstvene karakteristike poznatih pretnji - jedno od primarnih sredstava koje koristi softver kao što je otkrivanje antivirusa i otkrivanja upada (IDS). Pad propusta je u tome što oni reaguju. Potpis ne može biti razvijen sve dok ne postoji opasnost i potencijalno možete napasti pre potpisivanja. Vaše HIPS rešenje treba da koristi detekciju zasnovanu na potpisu zajedno sa detekcijom zasnovanom na anomaliji koja utvrđuje osnovnu vrednost onoga što "normalna" aktivnost mreže čini na vašoj mašini i koja će odgovoriti na bilo koji saobraćaj koji se čini neobičnim. Na primjer, ako vaš računar nikad ne koristi FTP i iznenada neki pokušaj pokuša otvoriti FTP vezu sa računara, HIPS bi to otkrio kao nepravilnu aktivnost.
- Radi sa vašom konfiguracijom : Neka rešenja HIPS-a mogu biti restriktivna u smislu kojih programa ili procesa mogu da prate i zaštite. Trebali biste pokušati pronaći HIPS koji je sposoban rukovati komercijalnim paketom izvan polica, kao i sve domaće prilagođene aplikacije koje možda koristite. Ako ne koristite prilagođene aplikacije ili nemojte smatrati ovo značajnim problemom za vaše okruženje, barem osigurajte da vaše rješenje HIPS štiti programe i procese koje pokrećete.
- Omogućava vam da kreirate politiku : Većina HIPS rešenja dolaze sa prilično sveobuhvatnim skupom unaprijed definisanih politika i prodavci će obično ponuditi ispravke ili objaviti nove smernice kako bi pružili specifičan odgovor za nove pretnje ili napade. Međutim, važno je da imate mogućnost da kreirate sopstvene smernice u slučaju da imate jedinstvenu opasnost koju prodavač ne odgovara ili kada nova eksplozija eksplodira i potrebna vam je politika za zaštitu vašeg sistema prije dobavljač ima vremena za objavljivanje ažuriranja. Morate se uveriti da proizvod koji koristite ne samo da ima mogućnost kreiranja pravila, već da je kreiranje politike dovoljno jednostavno da razumete bez vježbanja treninga ili stručnih veština.
- Pruža centralno izveštavanje i administraciju : Dok smo reč o zaštiti domaćina za pojedinačne servere ili radne stanice, HIPS i NIPS rešenja su relativno skupi i izvan domena tipičnog kućnog korisnika. Dakle, čak i kada govorite o HIPS-u, verovatno je potrebno razmotriti sa stanovišta raspoređivanja HIPS-a na moguće stotine desktop i servera preko mreže. Iako je lepo imati zaštitu na nivou pojedinačnog desktopa, administriranje stotina pojedinačnih sistema ili pokušaj stvaranja konsolidovanog izveštaja može biti skoro nemoguće bez dobre centralne izveštavanja i administracije. Prilikom izbora proizvoda osigurajte da ima centralizovano izvještavanje i administraciju kako bi vam omogućila da postavite nove smernice na sve mašine ili da kreirate izvještaje sa svih mašina sa jedne lokacije.
Postoji još nekoliko stvari koje morate imati u vidu. Prvo, HIPS i NIPS nisu "srebrni metak" za sigurnost. One mogu biti odličan dodatak solidnoj, slojevitoj odbrani, uključujući i zaštitne zidove i antivirusne aplikacije, ali ne bi trebalo da pokušavaju da zamene postojeće tehnologije.
Drugo, inicijalna implementacija rešenja HIPS-a može biti mudra. Konfiguriranje detekcije zasnovane na anomaliji često zahteva dosta "držanja ruku" kako bi aplikaciji pomoglo da razume šta je "normalan" saobraćaj, a šta nije. Možda ćete doživeti niz lažnih pozitivnih ili propuštenih negativa dok radite na uspostavljanju osnove onoga što definiše "normalan" saobraćaj za vašu mašinu.
Na kraju, kompanije obično vrše kupovinu na osnovu toga šta mogu učiniti za kompaniju. Standardna računovodstvena praksa predlaže da se to meri na osnovu povraćaja investicije ili ROI. Računovođe žele da razumeju ako investiraju sume novca u novi proizvod ili tehnologiju, koliko će dugo trajati za proizvod ili tehnologiju da plati za sebe.
Nažalost, proizvodi za zaštitu od mreže i računara uglavnom ne odgovaraju ovom kalupu. Sigurnost funkcioniše više na obrnuto-ROI. Ako sigurnosni proizvod ili tehnologija funkcionišu kako je projektovana, mreža će ostati sigurna - ali neće biti "profita" za merenje ROI od. Morate da pogledate u suprotnom smeru i razmotrite koliko bi kompanija mogla da izgubi ako proizvod ili tehnologija nisu bili na mestu. Koliko novca bi trebalo potrošiti na obnovu servera, oporavak podataka, vrijeme i sredstva nametanja tehničkog osoblja za čišćenje nakon napada itd.? Ako proizvod ne može imati potencijalno gubitak znatno više novca od troškova proizvoda ili tehnologije za implementaciju, onda možda ima smisla to učiniti.