Aferoj por serĉi en ĉi tiu lasta linio de defendo
Manteloj de sekureco estas ĝenerale akceptita principo de komputila kaj reto-sekureco (vidu En Depth Security). La baza premiso estas, ke ĝi prenas multajn harojn de defendo por protekti kontraŭ la granda vario de atakoj kaj minacoj. Ne nur unu produkto aŭ tekniko povas protekti kontraŭ ĉiu ebla minaco, tial postulante malsamajn produktojn por malsamaj minacoj, sed havante multajn defendajn liniojn, mi esperas permesi unu produkto kapti aferojn, kiuj eble trapasis la eksterajn defendojn.
Estas multaj aplikoj kaj aparatoj, kiujn vi povas uzi por la malsamaj programoj de antivirusaj manteloj, firewalls, IDS (Intrusion Detection Systems) kaj pli. Ĉiu havas iomete malsaman funkcion kaj protektas de malsama aro de atakoj de alia maniero.
Unu el la plej novaj teknologioj estas la IPS- Intrusion Prevention System. IPS estas kiel kombini IDS per fajroŝirmilo. Tipa IDS ensalutos aŭ atentos vin al sospechosa trafiko, sed la respondo restos al vi. IPS havas politikojn kaj regulojn, kiujn ĝi komparas al reto-trafiko. Se iu ajn trafiko malobservas la politikojn kaj regulojn, la IPS povas esti agordita por respondi, anstataŭ simple alarmante vin. Tipaj respondoj povus bloki ĉiujn trafikojn de la fonto IP-adreso aŭ bloki venontajn trafikojn al tiu haveno por protekti la komputilon aŭ reton.
Estas sistemoj bazitaj en reto de premo de intrusión (NIPS) kaj ekzistas sistemoj bazitaj en gastigado de intrusión (HIPS). Dum ĝi povas esti pli multekosta efektivigi HIPS- precipe en granda dungista medio, mi rekomendas gastigatan sekurecon ĉie ajn eblas. Ĉesigi intrudojn kaj infektojn ĉe la individua laboreja nivelo povas esti multe pli efika ĉe blokado, aŭ almenaŭ enhavas minacojn. Kun tio en la menso, jen listo de aferoj serĉataj en solvo HIPS por via reto:
- Ne rajtas registri signatojn : signaturoj - aŭ unikaj trajtoj de konataj minacoj - estas unu el la ĉefaj rimedoj uzataj de programaro kiel antivirus kaj intrusion-detekto (IDS). La falita de subskriboj estas ke ili estas reagaj. Subskribo ne povas esti evoluigita ĝis post minaco ekzistas kaj vi eble povus ataki antaŭ ol la subskribo estas kreita. Via solvo HIPS devus uzi subskribon-bazitan detekton kune kun anomalio-bazita detekto, kiu establas bazon de kio "normala" reta agado aspektas en via maŝino kaj respondos al iu ajn trafiko, kiu aspektas nekutima. Ekzemple, se via komputilo neniam uzas FTP kaj subite iu minaco provas malfermi FTP-konekton de via komputilo, la HIPS detektus ĉi tion kiel anomala aktiveco.
- Verkoj kun via agordo : Iuj solvoj de HIPS povas esti limigaj en kiaj programoj aŭ procezoj ili povas kontroli kaj protekti. Vi devas provi trovi HIPS kapablan pritrakti komercajn pakojn de la breto kaj ankaŭ ajn hejmajn kutimajn aplikojn, kiujn vi povas uzi. Se vi ne uzas kutimajn aplikojn aŭ ne konsideras ĉi tiun gravan problemon por via medio, almenaŭ certigu, ke via solvo HIPS protektas la programojn kaj procezojn, kiujn vi kuras.
- Permesas Krei Politikojn : Plej solvoj de HIPS venas kun sufiĉe ampleksa aro de antaŭdifinitaj politikoj kaj vendistoj tipe proponos ĝisdatigojn aŭ liberigos novajn politikojn por provizi specifan respondon por novaj minacoj aŭ atakoj. Tamen, gravas, ke vi havas la kapablon krei viajn proprajn politikojn en la evento, ke vi havas solan minacon, kiun la vendisto ne rimarkas aŭ kiam nova minaco eksplodas kaj vi bezonas politikon por protekti vian sistemon antaŭ la Vendisto havas tempon liberigi ĝisdatigon. Vi devas certigi, ke la produkto, kiun vi uzas, ne nur havas kapablon krei politikojn, sed tiu politika kreado estas sufiĉe simpla por vi kompreni sen semajnoj da trejnado aŭ spertaj programadaj kapabloj.
- Provizas Centra Raportado kaj Administrado : Dum ni parolas pri gastig-protekto por individuaj serviloj aŭ stacidomoj de laboro, HIPS kaj NIPS-solvoj estas relative multekostaj kaj ekster la regno de tipa hejma uzanto. Do, eĉ kiam vi parolas pri HIPS, vi eble devas konsideri ĝin de la vidpunkto de uzado de HIPS pri eble centoj da labortabloj kaj serviloj tra reto. Dum ĝi estas bela havi protekton ĉe la individua labortablo, administri centojn da individuaj sistemoj aŭ provi krei solidigitan raporton povas esti preskaŭ neebla sen bona centra raportado kaj administra funkcio. Elektinte produkton, certigu, ke ĝi havas centralizan raporton kaj administradon por permesi al vi disfaldi novajn politikojn al ĉiuj maŝinoj aŭ por krei raportojn de ĉiuj maŝinoj de unu loko.
Estas kelkaj aliaj aferoj, kiujn vi devas memori. Unue, HIPS kaj NIPS ne estas "arĝenta kuglo" por sekureco. Ili povas esti bonega aldono al solida mantelo, inkluzive de fajroŝirmiloj kaj antivirusaj aplikoj inter aliaj aferoj, sed ne devus anstataŭi ekzistantajn teknologiojn.
Due, la komenca efektivigo de HIPS-solvo povas esti peniga. Agordi la detektadon de anomalioj ofte bezonas multe da "man-tenado" por helpi la aplikaĵon kompreni, kio estas "normala" trafiko kaj kio ne estas. Vi povas sperti multajn falsajn pozitivojn aŭ maltrafitajn negativojn dum vi laboras por establi la bazon de tio, kio difinas "normalan" trafikon por via maŝino.
Fine, kompanioj ĝenerale faras aĉetojn bazitajn sur tio, kion ili povas fari por la kompanio. Norma kontadata praktiko sugestas, ke ĉi tio estu mezurita laŭ la reveno de investo aŭ ROI. Kontaktistoj volas kompreni, ĉu ili investas sumon da mono en nova produkto aŭ teknologio, kiom longe ĝi bezonos por la produkto aŭ teknologio pagi por si mem.
Bedaŭrinde, reto kaj komputila sekureco ne ĝenerale adaptas ĉi tiun muldilon. Sekureco funkcias pli ol reverso-ROI. Se la sekureca produkto aŭ teknologio funkcias kiel desegnita, la reto restos sekura, sed ne estos "profito" por mezuri ROI. Vi devas rigardi la reverson kaj konsideri kiom la kompanio povus perdi se la produkto aŭ teknologio ne estis en loko. Kiom da mono devus esti elspezita en rekonstruado de serviloj, reaktante datumojn, tempon kaj rimedojn por dediĉi teknikan dungitaron por purigi post atako, ktp? Se ne havanta la produkton eble povus rezulti perdante signife pli da mono ol la produkto aŭ teknologiaj kostoj por efektivigi, tiam eble ĝi havas sencon fari tion.