Ствари које треба тражити у овој последњој линији одбране
Лаиеред сецурити је широко прихваћен принцип рачунарске и мрежне сигурности (погледајте Ин Дептх Сецурити). Основна претпоставка је да узима више слојева одбране како би се заштитила од широког спектра напада и претњи. Не само да један производ или техника не може заштитити од сваке могуће претње, стога захтевају различите производе за различите претње, али имају више линија одбране, надамо се да ће један производ моћи да ухвати ствари које су можда пролазиле кроз вањске одбране.
Постоји много апликација и уређаја које можете користити за различите слојеве - антивирусни софтвер, заштитне зидове, ИДС (систем за откривање интрусион-а) и још много тога. Сваки од њих има незнатно другачију функцију и штити од другог сет напада на други начин.
Једна од новијих технологија је ИПС-Интрусион Превентион Систем. ИПС је нешто као да комбинује ИДС са заштитним зидом. Типични ИДС ће вас пријавити или упозорити на сумњив промет, али одговор вам је остављен. ИПС има смернице и правила у којима пореди мрежни саобраћај. Ако било који саобраћај крши правила и правила, ИПС се може конфигурисати да одговори, а не само да вас упозорава. Типични одговори могу бити блокирање целокупног саобраћаја са изворне ИП адресе или блокирање долазног саобраћаја на том порту како би проактивно заштитили рачунар или мрежу.
Постоје мрежни системи за спречавање упада на мрежи (НИПС) и постоје системи за спречавање упада на мрежи (ХИПС). Иако може бити скупље за имплементацију ХИПС-а нарочито у великом, предузетничком окружењу, препоручујем безбедност засновану на домаћину гдје год је то могуће. Заустављање напада и инфекција на нивоу појединачног радног места може бити много ефикасније при блокирању или барем загријавању. Имајући то у виду, овде је листа ствари које треба тражити у рјешењу ХИПС-а за вашу мрежу:
- Не ослања се на потписе : потписи или јединствене карактеристике познатих претњи - једно од примарних средстава које користи софтвер као што је откривање антивируса и откривања упада (ИДС). Пропаст потписа је да су реактивни. Потпис не може бити развијен све док не постоји опасност и потенцијално можете напасти пре него што се креира потпис. Ваше решење ХИПС-а треба да користи детекцију засновану на потпису заједно са детекцијом заснованом на аномалији која утврђује основну вредност онога што "нормална" мрежна активност изгледа на вашој машини и која ће одговорити на било који саобраћај који се чини необичним. На пример, ако ваш рачунар никада не користи ФТП и одједном неки претњи покушава отворити ФТП везу са вашег рачунара, ХИПС би то открио као аномалну активност.
- Ради са вашом конфигурацијом : Нека решења ХИПС-а могу бити рестриктивна у смислу којих програма или процеса могу да прате и заштите. Требали бисте покушати пронаћи ХИПС који је у могућности да руководи комерцијалним пакетом изван полица, као и све домаће прилагођене апликације које можда користите. Ако не користите прилагођене апликације или немојте сматрати то значајним проблемом за ваше окружење, барем се осигурало да ваше рјешење ХИПС штити програме и процесе које покрећете.
- Омогућава вам да креирате политику : Већина ХИПС решења долазе са прилично свеобухватним скупом унапријед дефинисаних смерница и продавци ће обично понудити исправке или објавити нове смернице како би пружили конкретан одговор за нове претње или нападе. Међутим, важно је да имате могућност да креирате сопствене смернице у случају да имате јединствену претњу коју продавач не одговара или када нова експлозија експлодира и потребна вам је политика за заштиту вашег система пре добављач има времена да изда ажурирање. Морате се уверити да производ који користите не само да има могућност креирања политика, већ да је креирање политике довољно једноставно да разумете без недеље тренинга или стручних вештина програмирања.
- Пружа централно извештавање и администрацију : Док смо реч о заштити домаћина за појединачне сервере или радне станице, ХИПС и НИПС решења су релативно скупи и изван домена типичног кућног корисника. Дакле, чак и када говорите о ХИПС-у, вероватно је потребно размотрити са становишта распоређивања ХИПС-а на могуће стотине десктоп и сервера преко мреже. Иако је лепо имати заштиту на нивоу појединачног десктопа, администрирање стотина појединачних система или покушај стварања консолидованог извештаја може бити готово немогуће без доброг централног извештавања и администрације функције. Приликом избора производа осигурајте да има централизовано извјештавање и администрацију како би вам омогућила да поставите нове смернице на све машине или да креирате извјештаје са свих машина са једне локације.
Постоји још неколико ствари које морате имати у виду. Прво, ХИПС и НИПС нису "сребрни метак" за сигурност. Они могу бити одличан додатак солидној, слојевитој одбрани, укључујући и заштитне зидове и антивирусне апликације, али не би требало да покушавају да замене постојеће технологије.
Друго, почетна имплементација решења ХИПС-а може бити мудра. Конфигурирање детекције засноване на аномалији често захтева доста "држања руку" како би апликацији помогло да разуме шта је "нормалан" саобраћај, а шта није. Можда ћете доживети низ лажних позитивних или пропуштених негатива док радите на успостављању основе онога што дефинише "нормалан" саобраћај за вашу машину.
На крају, компаније обично врше куповину на основу онога што могу да ураде за предузеће. Стандардна рачуноводствена пракса предлаже да се то мери на основу повраћаја инвестиције или РОИ. Рачуновође желе да разумеју ако инвестирају суме новца у нови производ или технологију, колико ће времена трајати за производ или технологију да плати за себе.
Нажалост, производи за заштиту од мреже и рачунара углавном не одговарају овом калупу. Сигурност ради на већој обрнутој РОИ. Ако сигурносни производ или технологија функционишу како је пројектована, мрежа ће остати сигурна - али неће бити "профита" за мерење РОИ од. Морате да погледате у супротном смеру и размотрите колико би компанија могла да изгуби ако производ или технологија нису били на месту. Колико новца би требало потрошити на обнову сервера, опоравак података, времена и ресурса посвећивања техничког особља за чишћење након напада итд.? Ако производ не може имати потенцијално изгубити знатно више новца од трошкова производа или технологије за имплементацију, онда је можда смисла урадити то.