Lagret sikkerhet er et allment akseptert prinsipp for datasikkerhet og nettverkssikkerhet (se i dybdesikkerhet). Den grunnleggende forutsetningen er at det tar flere lag med forsvar for å beskytte mot det store angrep og trusler. Ikke bare kan ett produkt eller en teknikk ikke beskytte mot enhver mulig trussel, og krever derfor forskjellige produkter for ulike trusler, men å ha flere forsvarslinjer vil forhåpentligvis tillate ett produkt å fange ting som kan ha gått forbi de ytre forsvarene.
Det er mange programmer og enheter du kan bruke for de forskjellige lag-antivirusprogramvarene, brannmurer, IDS (Intrusion Detection Systems) og mer. Hver har en litt annen funksjon og beskytter mot et annet angrep på en annen måte.
En av de nyere teknologiene er IPS-Intrusion Prevention System. En IPS er noe som å kombinere en IDS med en brannmur. En typisk IDS vil logge eller varsle deg om mistenkelig trafikk, men svaret blir overlatt til deg. En IPS har retningslinjer og regler som det sammenligner nettverkstrafikken med. Hvis noen trafikk bryter retningslinjene og reglene, kan IPS konfigureres til å svare snarere enn å bare varsle deg. Typiske svar kan være å blokkere all trafikk fra kilde-IP-adressen eller for å blokkere innkommende trafikk på den porten for å proaktivt beskytte datamaskinen eller nettverket.
Det finnes nettverksbaserte inntrengningsforebyggende systemer (NIPS), og det finnes vertsbaserte inntrengingsforebyggende systemer (HIPS). Selv om det kan være dyrere å implementere HIPS-spesielt i et stort bedriftsmiljø, anbefaler jeg vertsbasert sikkerhet hvor det er mulig. Stopp inntrengninger og infeksjoner på det enkelte arbeidsstasjonsnivå kan være mye mer effektivt ved å blokkere eller i det minste inneholde trusler. Med det i tankene, her er en liste over ting å se etter i en HIPS-løsning for nettverket ditt:
- Stoler ikke på signaturer: Signaturer - eller unike egenskaper ved kjente trusler - er en av de viktigste måtene som brukes av programvare som antivirus og inntrengingsdeteksjon (IDS). Underskuddet av signaturer er at de er reaktive. En signatur kan ikke utvikles før en trussel eksisterer, og du kan potensielt bli angrepet før signaturen opprettes. HIPS-løsningen din bør bruke signaturbasert deteksjon sammen med anomalibasert deteksjon som etablerer en grunnlinje av hva "normal" nettverksaktivitet ser ut på maskinen din, og vil reagere på trafikk som virker uvanlig. For eksempel, hvis datamaskinen aldri bruker FTP, og plutselig prøver noen trussel å åpne en FTP-tilkobling fra datamaskinen din, vil HIPS oppdage dette som uregelmessig aktivitet.
- Fungerer med konfigurasjonen: Noen HIPS-løsninger kan være begrensende når det gjelder hvilke programmer eller prosesser de kan overvåke og beskytte. Du bør prøve å finne en HIPS som er i stand til å håndtere kommersielle pakker fra hyllen, så vel som eventuelle hjemlige tilpassede applikasjoner du kan bruke. Hvis du ikke bruker egendefinerte applikasjoner eller ikke anser dette som et vesentlig problem for miljøet, sørg for at HIPS-løsningen din beskytter programmene og behandler deg gjøre løpe.
- Lar deg lage retningslinjer: De fleste HIPS-løsningene kommer med et ganske omfattende sett med forhåndsdefinerte retningslinjer, og leverandører vil vanligvis tilby oppdateringer eller slippe nye retningslinjer for å gi et bestemt svar for nye trusler eller angrep. Det er imidlertid viktig at du har mulighet til å lage egne retningslinjer i tilfelle at du har en unik trussel som leverandøren ikke tar hensyn til eller når en ny trussel eksploderer, og du trenger en policy for å forsvare systemet før leverandøren har tid til å utgjøre en oppdatering. Du må sørge for at produktet du bruker, ikke bare har mulighet for å opprette retningslinjer, men at politikkopprettelsen er enkel nok til at du forstår uten ukers trening eller ekspertprogrammering.
- Gir sentral rapportering og administrasjon: Mens vi snakker om vertsbasert beskyttelse for individuelle servere eller arbeidsstasjoner, er HIPS og NIPS-løsninger relativt dyre og utenfor riket til en typisk hjemme bruker. Så selv om du snakker om HIPS, må du sannsynligvis vurdere det fra standpunktet for å distribuere HIPS på muligens hundrevis av desktops og servere over et nettverk. Selv om det er fint å ha beskyttelse på det enkelte skrivebordsnivå, kan administrering av hundrevis av individuelle systemer, eller forsøk på å opprette en konsolidert rapport, være nesten umulig uten en god sentral rapporterings- og administrasjonsfunksjon. Når du velger et produkt, må du sørge for at det har sentralisert rapportering og administrasjon slik at du kan distribuere nye retningslinjer til alle maskiner, eller å opprette rapporter fra alle maskiner fra ett sted.
Det er noen andre ting du må huske på. Først er HIPS og NIPS ikke en "sølvkule" for sikkerhet. De kan være et flott tillegg til et solidt lagdelt forsvar, blant annet brannmurer og antivirusprogrammer, blant annet, men bør ikke prøve å erstatte eksisterende teknologier.
For det andre kan den første implementeringen av en HIPS-løsning være omhyggelig. Konfigurering av anomalibasert deteksjon krever ofte god håndtering for å hjelpe applikasjonen å forstå hva som er "normal" trafikk og hva som ikke er. Du kan oppleve en rekke falske positiver eller tapte negativer mens du arbeider for å etablere grunnlinjen for hva som definerer "normal" trafikk for maskinen din.
Til slutt foretar selskaper generelt kjøp basert på hva de kan gjøre for selskapet. Standard regnskapspraksis antyder at dette måles basert på avkastningen eller avkastningen.Regnskapsførere vil forstå om de investerer en sum penger i et nytt produkt eller en teknologi, hvor lenge vil det ta for produktet eller teknologien å betale for seg selv.
Dessverre passer ikke nettverks- og datasikkerhetsprodukter vanligvis til denne molden. Sikkerhet fungerer på mer av en omvendt avkastning. Hvis sikkerhetsproduktet eller teknologien fungerer som utformet, forblir nettverket sikkert - men det blir ingen "fortjeneste" for å måle avkastning fra. Du må se på omvendt skjønt og vurdere hvor mye selskapet kan tape hvis produktet eller teknologien ikke var på plass. Hvor mye penger vil bli brukt på å gjenoppbygge servere, gjenopprette data, tid og ressurser til å dedikere teknisk personell til å rydde opp etter et angrep, etc? Hvis du ikke har produktet, kan det føre til at du mister betydelig mer penger enn produktet eller teknologien koster å implementere, så er det kanskje fornuftig å gjøre det.
