Неща, които да търсят в тази последна линия на отбраната
Слоестата сигурност е широко възприет принцип на компютърна и мрежова сигурност (вж. In Depth Security). Основното предположение е, че са необходими многобройни защитни слоеве, за да се предпази от голямото разнообразие от атаки и заплахи. Не само, че един продукт или техника не могат да защитят срещу всяка възможна заплаха, поради което изискват различни продукти за различни заплахи, но с няколко линии на защита ще се надяваме, че един продукт ще улови неща, които може да са подхлъзнали външната защита.
Има много приложения и устройства, които можете да използвате за различните слоеве - антивирусен софтуер, защитни стени, IDS (системи за откриване на проникване) и др. Всеки от тях има малко по-различна функция и защитава от различен набор от атаки по различен начин.
Една от по-новите технологии е системата за предотвратяване на проникване на IPS. Системата IPS е до известна степен съчетаваща IDS с защитна стена. Типичният IDS ще ви регистрира или предупреди за подозрителен трафик, но отговорът ви е оставен. ИСП има правила и правила, с които сравнява мрежовия трафик. Ако трафикът нарушава правилата и правилата, IPS може да бъде конфигуриран да реагира, вместо да ви предупреждава. Типичните отговори могат да бъдат блокирането на целия трафик от източника на IP адреса или блокирането на входящия трафик на този порт, за да се защити проактивно компютъра или мрежата.
Има мрежови системи за предотвратяване на проникване (NIPS) и съществуват системи за предотвратяване на проникване (HIPS) на базата на хост. Макар че може да е по-скъпо да се реализира HIPS - особено в голяма, корпоративна среда, препоръчвам хост-базирана сигурност, когато е възможно. Спирането на проникване и инфекции на ниво отделна работна станция може да бъде много по-ефективно при блокиране или поне съдържащо заплахи. Имайки предвид това, ето списък с неща, които да търсите в решение за HIPS за вашата мрежа:
- Не се разчита на подписите : Подписите - или уникалните характеристики на известните заплахи - са едно от основните средства, използвани от софтуер като антивирус и откриване на проникване (IDS). Падането на подписите е, че те са реактивни. Подписът не може да бъде развит, докато не съществува заплаха и бихте могли да бъдете атакувани преди да бъде създаден подписът. Решението HIPS трябва да използва откриване на базата на подпис заедно с откриване на аномалии, което установява базова линия на това, което "нормална" мрежова дейност изглежда на вашата машина и ще отговори на всеки необичаен трафик. Например, ако компютърът ви никога не използва FTP и внезапно някаква заплаха се опитва да отвори FTP връзка от вашия компютър, HIPS ще го открие като аномална дейност.
- Работи с вашата конфигурация : Някои решения на HIPS може да са ограничителни по отношение на програмите или процесите, които те могат да наблюдават и защитават. Трябва да се опитате да намерите HIPS, който е в състояние да борави с търговски пакети от рафта, както и с всякакви домашни любими приложения, които може да използвате. Ако не използвате персонализирани приложения или не смятате, че това е значителен проблем за вашата среда, поне се уверете, че вашето решение HIPS защитава програмите и процесите, които вършите .
- Позволява ви да създавате правила : Повечето решения на HIPS идват с доста изчерпателен набор от предварително дефинирани правила и продавачите обикновено предлагат актуализации или издават нови правила, за да осигурят специфичен отговор за нови заплахи или атаки. Важно е обаче да имате възможността да създадете свои собствени правила в случай, че имате уникална заплаха, която продавачът не отчита или когато възникне нова заплаха и се нуждаете от политика за защита на вашата система преди доставчикът има време да пусне актуализация. Трябва да се уверите, че продуктът, който използвате, не само има способността да създавате правила, но създаването на политика е достатъчно просто, за да разберете без седмици обучение или експертни умения за програмиране.
- Осигурява централизирано отчитане и администриране : Докато говорим за базирана на хост защита за отделни сървъри или работни станции, решенията HIPS и NIPS са сравнително скъпи и извън сферата на типичния домашен потребител. Така че, дори когато говорим за HIPS, вероятно трябва да го разгледате от гледна точка на разполагането на HIPS върху вероятно стотици настолни компютри и сървъри в дадена мрежа. Макар че е хубаво да имате защита на индивидуалното ниво на работния плот, администрирането на стотици отделни системи или се опитвате да създадете консолидиран отчет може да бъде почти невъзможно без добра функция за централно отчитане и администриране. Когато избирате даден продукт, уверете се, че той разполага с централизирано отчитане и администриране, за да можете да приложите нови правила към всички машини или да създавате отчети от всички машини от едно място.
Има още няколко неща, които трябва да имате предвид. Първо, HIPS и NIPS не са "сребърен куршум" за сигурност. Те могат да бъдат чудесно допълнение към солидна пластова защита, включително защитни стени и антивирусни приложения, но не трябва да се опитват да заменят съществуващите технологии.
На второ място, първоначалното внедряване на решение на HIPS може да бъде трудно. Конфигурирането на откриването на аномалии често изисква много "ръчно задържане", за да помогне на приложението да разбере какво е "нормален" трафик и какво не. Възможно е да имате няколко фалшиви положителни или пропуснати негативи, докато работите, за да установите базовата линия на това, което определя "нормалния" трафик за вашата машина.
И накрая, компаниите обикновено правят покупки въз основа на това, което могат да направят за компанията. Стандартната счетоводна практика предполага, че това се измерва въз основа на възвръщаемостта на инвестициите или възвръщаемостта на инвестициите. Счетоводителите искат да разберат дали инвестират сума пари в нов продукт или технология, колко време ще отнеме за това продуктът или технологията да плати за себе си.
За съжаление продуктите за мрежова и компютърна сигурност по принцип не се вписват в тази форма. Сигурността работи върху повече обратна ROI. Ако продуктът или технологията за сигурност функционират така, както са проектирани, мрежата ще остане безопасна, но няма да има "печалба" за измерване на ROI. Трябва обаче да погледнете на обратната страна и да обмислите колко може да загуби компанията, ако продуктът или технологията не са били на мястото си. Колко пари би трябвало да бъдат изразходвани за възстановяване на сървъри, възстановяване на данни, време и средства за посвещаване на технически персонал, за да се почисти след атака и т.н.? Ако не разполагате с продукта, това може да доведе до загуба на значително повече пари, отколкото разходите за продукт или технология да бъдат приложени, тогава може би има смисъл да се направи това.