Работи што треба да ги бара во оваа последна линија на одбрана
Слоевената безбедност е нашироко прифатен принцип на компјутерска и мрежна безбедност (види Во Длабочината на безбедност). Основната премиса е дека е потребно повеќе слоеви на одбрана за да се заштитат од широк спектар на напади и закани. Не само што еден производ или техника не може да се заштити од секоја можна закана, па затоа се потребни различни производи за различни закани, но има повеќекратни линии на одбрана, се надеваме да дозволиме еден производ да ги фати нештата што можеби се пробиле покрај надворешната одбрана.
Постојат многу апликации и уреди кои можете да ги користите за различни слоеви - антивирусен софтвер, firewalls, IDS (системи за детекција на упад) и многу повеќе. Секој има малку поинаква функција и штити од различен сет на напади на поинаков начин.
Една од поновите технологии е IPS-системот за спречување на навлегување. IPS е нешто како комбинирање на IDS со заштитен ѕид. Типичен IDS ќе се најавите или ќе ве предупреди на сомнителен сообраќај, но одговорот е оставено за вас. IPS има политики и правила според кои го споредува мрежниот сообраќај. Ако некој сообраќај ги крши правилата и правилата, IPS-от може да биде конфигуриран да одговори, наместо да ве предупреди. Типични одговори може да бидат да го блокираат целиот сообраќај од изворната IP адреса или да го блокираат дојдовниот сообраќај на тој порт за проактивно да го заштитат компјутерот или мрежата.
Постојат мрежни системи за спречување на упад (NIPS) и постојат системи за превенција на упад (HIPS) базирани на домаќин. И покрај тоа што може да биде поскапо да се имплементира ХИПС-особено во голема, претпријатие животната средина, јас препорачувам домаќин-базирана безбедност секогаш кога е можно. Запирањето на упади и инфекции на ниво на поединечна работна станица може да биде многу поефикасно при блокирање, или барем содржување на закани. Со оглед на тоа, тука е листата на работи што треба да ги барате во решение за HIPS за вашата мрежа:
- Не се потпираат на потписи : потписи или уникатни карактеристики на познати закани - се едно од основните средства што ги користи софтверот како што е антивирус и откривање на упад (IDS). Недостатокот на потписи е дека тие се реактивни. Потписот не може да се развие се додека не постои закана и потенцијално може да се нападнат пред да се креира потписот. Решението за ХИПС треба да користи детекција базирана на потпис, заедно со откривање базирано на аномалија, со што се воспоставува основата на она што изгледа како "нормална" мрежна активност на вашата машина и ќе одговори на секој сообраќај што се чини необичен. На пример, ако вашиот компјутер никогаш не користи FTP и одеднаш некоја закана се обидува да отвори врска со FTP од вашиот компјутер, ХИПС ќе го открие ова како аномална активност.
- Работи со вашата конфигурација : Некои решенија на HIPS може да бидат рестриктивни во однос на тоа кои програми или процеси се способни да ги следат и заштитуваат. Треба да се обидете да пронајдете ХИПС кој е способен за ракување со комерцијални пакети од полицата, како и со сите прилагодени апликации што може да ги користите за дома. Ако не користите прилагодени апликации или не сметајте дека ова претставува значителен проблем за вашата околина, барем осигурајте се дека вашиот HIPS решение ги штити програмите и процесите што ги извршувате.
- Ви овозможува да креирате политики : Повеќето HIPS решенија доаѓаат со прилично сеопфатен сет на однапред дефинирани политики и продавачите обично ќе нудат ажурирања или ќе издадат нови политики за да обезбедат специфичен одговор за нови закани или напади. Меѓутоа, важно е да имате способност да креирате сопствени политики во случај да имате единствена закана дека продавачот не одговара или кога нова закана експлодира и ви треба политика за одбрана на вашиот систем пред продавачот има време да објави ажурирање. Потребно е да бидете сигурни дека производот кој го користите не само што има способност да креирате политики, туку креирањето на правилата е доволно едноставно за да ги разберете без недели обука или стручни програмски вештини.
- Обезбедува централно известување и администрација : Додека станува збор за заштита базирана на домаќин за поединечни сервери или работни станици, решенијата HIPS и NIPS се релативно скапи и се надвор од областа на типичен домашен корисник. Значи, дури и кога зборуваме за ХИПС, веројатно ќе треба да го разгледате од гледна точка на распоредување на HIPS на евентуално стотици десктоп компјутери и сервери низ мрежа. И покрај тоа што е убаво да се има заштита на поединечно ниво на десктоп, администрирањето на стотици поединечни системи или обидот да се создаде консолидиран извештај може да биде речиси невозможно без добро централно известување и администрирање на функцијата. При изборот на производот, осигурајте се дека има централизирано известување и администрација за да ви овозможи да ги распоредите новите политики на сите машини или да создавате извештаи од сите машини од една локација.
Има неколку други работи што треба да ги имате на ум. Прво, ХИПС и НИПС не се "сребрен куршум" за безбедност. Тие можат да бидат одличен додаток на цврста, слоевирана одбрана вклучувајќи и firewalls и антивирусни апликации, меѓу другото, но не треба да се обидуваат да ги заменат постојните технологии.
Второ, првичната имплементација на HIPS решение може да биде макотрпна. Конфигурирање на детекција базирана на аномалија често бара добар дел од "држењето рака" за да му помогне на апликацијата да разбере што е "нормален" сообраќај и што не е. Може да доживеете голем број на лажни позитиви или пропуштени негативи додека работите да ја утврдите основата на она што го дефинира "нормалниот" сообраќај за вашата машина.
И на крај, компаниите генерално прават набавки врз основа на тоа што можат да направат за компанијата. Стандардната сметководствена практика сугерира дека тоа се мери врз основа на враќање на инвестицијата или ROI. Сметководителите сакаат да разберат дали инвестираат сума пари во нов производ или технологија, колку долго ќе потрае за производот или технологијата да плати за себе.
За жал, мрежните и компјутерските безбедносни производи генерално не се вклопуваат во оваа мувла. Безбедноста работи повеќе на обратна рентабилност. Ако безбедносниот производ или технологијата функционираат како што е дизајнирано, мрежата ќе остане безбедна, но нема да има "профит" за мерење на ROI од. Мора да се погледне на обратна, иако и да размисли колку би можеле да изгубат компанијата ако производот или технологијата не беа на место. Колку пари ќе треба да се потрошат за обновување на сервери, наплата на податоци, време и ресурси за посветување технички персонал за чистење по нападот, итн? Ако не го имаат производот потенцијално може да резултира со губење значително повеќе пари од трошоците за производ или технологија за имплементација, тогаш можеби има смисла да го стори тоа.