Věci, které hledáte v této poslední obranné linii
Vrstvená bezpečnost je široce přijímaným principem zabezpečení počítačů a sítí (viz část Bezpečnost v hloubce). Základním předpokladem je to, že brání mnoha vrstvám obrany proti širokému spektru útoků a hrozeb. Nejen, že jeden produkt nebo technika nebudou chránit před všemi možnými hrozbami, a proto budou vyžadovat různé produkty pro různé hrozby, ale s několika obrannými liniemi, doufejme, že jeden produkt zachycuje věci, které by mohly proklouznout přes vnější obranu.
Existuje spousta aplikací a zařízení, které můžete použít pro různé vrstvy - antivirový software, firewally, IDS (detekce narušení) a další. Každý z nich má mírně odlišnou funkci a chrání jiný způsob útoků jiným způsobem.
Jednou z novějších technologií je systém IPS - Intrusion Prevention System. IPS je poněkud jako kombinace IDS s firewallem. Typický IDS vás bude přihlásit nebo upozornit na podezřelou návštěvnost, ale odpověď vám zůstane. Služba IPS má zásady a pravidla, která porovnává síťovou návštěvnost. Pokud nějaká návštěvnost porušuje zásady a pravidla, může být IPS nakonfigurován tak, aby reagoval spíše než aby vás upozorňoval. Typickými reakcemi může být zablokování veškeré návštěvnosti ze zdrojové adresy IP nebo blokování příchozího provozu na daném portu, aby byla proaktivně chráněna počítač nebo síť.
Existují síťové systémy zabraňující vniknutí (NIPS) a existují hostitelské systémy prevence proti vniknutí (HIPS). Zatímco může být nákladnější implementovat systém HIPS - zejména ve velkém podnikovém prostředí, doporučuji hostitelskou bezpečnost, kdykoli je to možné. Zastavení intruzí a infekcí na úrovni jednotlivých pracovních stanic může být mnohem efektivnější při blokování, nebo alespoň s hrozbami. S ohledem na to je seznam věcí, které je třeba hledat v řešení HIPS pro vaši síť:
- Nespoléhejte na podpisy : Podpisy - nebo jedinečné charakteristiky známých hrozeb - jsou jedním z hlavních prostředků používaných softwarem, jako je antivirový detektor a detekce narušení (IDS). Pád podpisů je, že jsou reaktivní. Podpis nemůže být vytvořen, dokud neexistuje hrozba a mohl byste se potenciálně napadnout před vytvořením podpisu. Řešení HIPS by mělo používat detekci založenou na podpisu spolu s detekcí založenou na anomáliích, která vytvoří základnu o tom, jaká "normální" síťová aktivita vypadá na vašem počítači a bude reagovat na jakoukoli neobvyklou komunikaci. Například pokud váš počítač nikdy nepoužívá protokol FTP a najednou se některá hrozba pokusí o otevření připojení FTP z počítače, HIPS tuto chybu zjistí jako neobvyklou činnost.
- Pracuje s vaší konfigurací : Některá řešení HIPS mohou být omezující, pokud jde o to, jaké programy nebo procesy mohou sledovat a chránit. Měli byste se pokusit najít HIPS, který je schopen zpracovávat komerční balíčky z police, stejně jako jakékoli domácí aplikace, které můžete používat. Pokud nepoužíváte vlastní aplikace nebo nepovažujete to za významný problém pro vaše prostředí, přinejmenším zajistěte, aby vaše řešení HIPS chrání spuštěné programy a procesy.
- Umožňuje vytvářet zásady : Většina řešení HIPS přichází s poměrně rozsáhlou sadou předdefinovaných zásad a prodejci zpravidla nabízejí aktualizace nebo vydávají nové zásady, které poskytují konkrétní reakci na nové hrozby nebo útoky. Je však důležité, abyste měli možnost vytvářet vlastní pravidla v případě, že máte jedinečnou hrozbu, že dodavatel nezodpovídá, nebo když vybuchne nová hrozba, a potřebujete politiku, která brání váš systém před dodavatel má čas na vydání aktualizace. Musíte se ujistit, že produkt, který používáte, má nejen schopnost vytvářet zásady, ale že tvorba zásad je dostatečně jednoduchá, abyste pochopili bez týdnů školení nebo odborných programovacích dovedností.
- Poskytuje centrální přehled a správu : Zatímco mluvíme o hostitelské ochraně pro jednotlivé servery nebo pracovní stanice, řešení HIPS a NIPS jsou poměrně drahé a mimo oblast typického domácího uživatele. Takže i když budete hovořit o HIPS, pravděpodobně ji budete muset zvážit z pohledu nasazení HIPS na případně stovky desktopů a serverů v síti. Přestože je dobré mít ochranu na úrovni jednotlivých pracovních stanic, spravovat stovky jednotlivých systémů nebo se pokusit vytvořit konsolidovanou zprávu může být téměř nemožné bez správné funkce centrálního hlášení a správy. Při výběru produktu se ujistěte, že má centralizované přehledy a správu, což vám umožní nasadit nová pravidla pro všechna zařízení nebo vytvořit přehledy ze všech strojů z jednoho místa.
Existuje několik dalších věcí, které musíte mít na paměti. Za prvé, HIPS a NIPS nejsou "stříbrnou kuličkou" pro zabezpečení. Mohou to být skvělý doplněk k pevné vrstvené obraně, včetně firewallů a antivirových aplikací, mimo jiné, ale neměly by se snažit nahradit stávající technologie.
Za druhé, počáteční implementace řešení HIPS může být obtížné. Konfigurace detekce založené na anomáliích často vyžaduje velké množství "držení rukou", aby aplikace pochopila, co je "normální" provoz a co není. Během práce na stanovení základní čáry toho, co definuje "normální" provoz vašeho stroje, můžete zaznamenat řadu falešně pozitivních či zmeškaných negativů.
Nakonec, společnosti obecně nakupují na základě toho, co mohou pro společnost dělat. Standardní účetní praxe naznačuje, že to je měřeno na základě návratnosti investice nebo návratnosti investic. Účtovníci chtějí pochopit, zda investují částku peněz do nového produktu nebo technologie, jak dlouho trvá, než produkt nebo technologie zaplatí za sebe.
Naneštěstí síťové a počítačové bezpečnostní produkty obecně nezapadají do této formy. Zabezpečení pracuje na více investice s investicemi zpětné vazby. Pokud bezpečnostní produkt nebo technologie fungují tak, jak je navržena, síť zůstane bezpečná, ale nebude existovat žádný "zisk" pro měření návratnosti investic. Musíte se však podívat na to, jak by společnost mohla ztratit, pokud by výrobek nebo technologie nebyly zavedeny. Kolik peněz by bylo třeba vynaložit na přestavbu serverů, obnovu dat, čas a zdroje věnování technického personálu k vyčištění po útoku apod.? Pokud nebude mít produkt potenciálně za následek ztrátu podstatně více peněz než náklady na produkt nebo technologii, které by mohly být realizovány, pak to asi dává smysl.