Gjërat për të kërkuar në këtë linjë të fundit të mbrojtjes
Siguria e shtresuar është një parim i pranuar gjerësisht i sigurisë së kompjuterit dhe rrjetit (shih In Depth Security). Premisa themelore është se ajo kërkon shtresa të shumta të mbrojtjes për të mbrojtur kundër shumëllojshmërisë së gjerë të sulmeve dhe kërcënimeve. Jo vetëm që një produkt apo teknikë nuk mund të mbrohet nga çdo kërcënim i mundshëm, prandaj kërkohet produkte të ndryshme për kërcënime të ndryshme, por që kanë linja të shumta mbrojtjeje, shpresojmë që një produkt të kapë gjëra që mund të kenë kaluar pranë mbrojtjes së jashtme.
Ka shumë aplikacione dhe pajisje që mund të përdorni për shtresat e ndryshme-antivirus software, firewalls, IDS (Intrusion Detection Systems) dhe më shumë. Secili ka një funksion paksa të ndryshëm dhe mbron nga një grup i ndryshëm sulmesh në një mënyrë tjetër.
Një nga teknologjitë më të reja është sistemi IPS-Intrusion Prevention. Një IPS është disi si kombinimi i IDS me një firewall. Një IDS tipik do të hyjë ose do t'ju lajmërojë për trafik të dyshimtë, por përgjigja ju lihet. Një SPI ka politika dhe rregulla që krahason trafikun e rrjetit. Nëse ndonjë trafik shkel politikat dhe rregullat, SPI-ja mund të konfigurohet për t'u përgjigjur dhe jo thjesht për t'ju njoftuar. Përgjigjet tipike mund të jenë të bllokojnë të gjithë trafikun nga adresa IP burimore ose të bllokojnë trafikun hyrës në atë port për të mbrojtur në mënyrë proaktive kompjuterin ose rrjetin.
Ekzistojnë sisteme të parandalimit të ndërhyrjeve në rrjet (NIPS) dhe ekzistojnë sisteme të parandalimit të ndërhyrjeve të bazuara në host (HIPS). Ndërkohë që mund të jetë më e shtrenjtë për të zbatuar HIPS-veçanërisht në një mjedis të madh ndërmarrjesh, unë rekomandoj sigurinë me bazë nikoqire kudo që të jetë e mundur. Ndërprerja e ndërhyrjeve dhe infeksioneve në nivel individual të workstation mund të jetë shumë më efektiv në bllokimin, ose të paktën duke përmbajtur kërcënime. Me këtë në mendje, këtu është një listë e gjërave për të kërkuar në një zgjidhje HIPS për rrjetin tuaj:
- Nuk mbështetet në firmat : Nënshkrimet - ose karakteristikat unike të kërcënimeve të njohura - janë një nga mjetet kryesore të përdorura nga softueri si zbulimi i antiviruseve dhe ndërhyrjeve (IDS). Rënia e firmave është se ato janë reaktive. Një nënshkrim nuk mund të zhvillohet derisa të ekzistojë një kërcënim dhe ju potencialisht mund të sulmoheni përpara se firma të krijohet. Zgjidhja juaj e HIPS duhet të përdorë zbulimin e bazuar në nënshkrim së bashku me zbulimin e bazuar në anomali që përcakton një bazë të asaj që aktiviteti i rrjetit "normal" duket si në kompjuterin tuaj dhe do t'i përgjigjet çdo trafiku që duket i pazakontë. Për shembull, nëse kompjuteri juaj nuk përdor FTP dhe papritmas disa kërcënime përpiqen të hapin një lidhje FTP nga kompjuteri juaj, HIPS do ta zbulonte këtë si një aktivitet anormal.
- Punon me konfiguracionin tuaj : Disa zgjidhje HIPS mund të jenë kufizuese në aspektin e programeve apo proceseve që ata janë në gjendje të monitorojnë dhe mbrojnë. Ju duhet të përpiqeni të gjeni një HIPS që është i aftë për të trajtuar paketa komerciale jashtë raftit, si dhe për çdo aplikacion me porosi në shtëpi që mund të përdorni. Nëse nuk përdorni aplikacione me porosi ose nuk e konsideroni këtë si një problem të rëndësishëm për mjedisin tuaj, të paktën sigurohuni që zgjidhja juaj e HIPS të mbrojë programet dhe proceset që bëni .
- Ju lejon të krijoni politika : Shumica e zgjidhjeve të HIPS vijnë me një grup shumë të plotë të politikave të paracaktuara dhe shitësit zakonisht do të ofrojnë përditësime ose do të lëshojnë politika të reja për të dhënë një përgjigje specifike për kërcënime ose sulme të reja. Megjithatë, është e rëndësishme që të keni aftësinë për të krijuar politikat tuaja në rast se keni një kërcënim unik që shitësi nuk llogarit ose kur një kërcënim i ri po shpërthen dhe keni nevojë për një politikë për të mbrojtur sistemin tuaj para se të shitësi ka kohë për të lëshuar një përditësim. Duhet të siguroheni se produkti që përdorni nuk ka vetëm aftësinë për të krijuar politika, por krijimi i politikave është mjaft i thjeshtë për ju për të kuptuar pa javë trajnime ose aftësi të programimit të ekspertëve.
- Siguron Raportimin dhe Administrimin Qendror : Ndërsa ne po flasim për mbrojtjen e bazuar në host, për serverat individualë ose stacionet e punës, zgjidhjet HIPS dhe NIPS janë relativisht të shtrenjta dhe jashtë fushës së një përdoruesi tipik shtëpiak. Pra, edhe kur flasim për HIPS, ndoshta ju duhet ta konsideroni atë nga pikëpamja e vendosjes së HIPS-së në pothuajse qindra desktopë dhe servera në një rrjet. Përderisa është mirë të kesh mbrojtje në nivelin individual të desktopit, administrimi i qindra sistemeve individuale ose përpjekja për të krijuar një raport të konsoliduar mund të jetë pothuajse e pamundur pa një raportim të mirë qendror dhe funksion administrimi. Gjatë zgjedhjes së një produkti, sigurohuni që të ketë raportim dhe administrim të centralizuar për t'ju lejuar të vendosni politika të reja për të gjitha makinat ose për të krijuar raporte nga të gjitha makinat nga një vend.
Ka disa gjëra të tjera që duhet të mbani në mend. Së pari, HIPS dhe NIPS nuk janë një "plumb argjendi" për sigurinë. Ato mund të jenë një shtesë e madhe për një mbrojtje të fortë, të shtresuar, duke përfshirë firewalls dhe aplikacionet antivirus ndër të tjera, por nuk duhet të përpiqet të zëvendësojë teknologjitë ekzistuese.
Së dyti, zbatimi fillestar i një zgjidhjeje të HIPS mund të jetë i kujdesshëm. Konfigurimi i zbulimit të bazuar në anomali shpesh kërkon një marrëveshje të mirë të "mbajtjes së dorës" për të ndihmuar aplikacionin të kuptojë se çfarë është trafiku "normal" dhe çfarë jo. Ju mund të përjetoni një numër pozitivesh false ose negative të humbura gjatë kohës që punoni për të vendosur bazën e asaj që përcakton trafikun "normal" për makinën tuaj.
Së fundi, kompanitë në përgjithësi bëjnë blerje në bazë të asaj që mund të bëjnë për kompaninë. Praktika e kontabilitetit standard sugjeron që kjo të matet bazuar në kthimin në investim, ose ROI. Kontabilistët duan të kuptojnë nëse investojnë një shumë parash në një produkt apo teknologji të re, sa do të zgjasë që produkti apo teknologjia të paguajë për vete.
Për fat të keq, produktet e rrjetit dhe të sigurisë kompjuterike zakonisht nuk përshtaten me këtë myk. Siguria punon më shumë për një ROI të kundërt. Nëse produkti ose teknologjia e sigurisë punon siç është projektuar, rrjeti do të mbetet i sigurt - por nuk do të ketë "fitim" për të matur ROI. Ju duhet të shikoni në anën e kundërt dhe të konsideroni sa kompania mund të humbasë nëse produkti ose teknologjia nuk ishin në vend. Sa para do të duhet të shpenzohen për rindërtimin e serverëve, rikuperimin e të dhënave, kohën dhe burimet e dedikimit të personelit teknik për t'u pastruar pas një sulmi, etj? Nëse nuk ka produkt mund të rezultojë në humbje të konsiderueshme më shumë para sesa kostot e produktit ose të teknologjisë për t'u zbatuar, atëherë ndoshta ka kuptim për ta bërë këtë.