דברים לחפש בשורה האחרונה של ההגנה
אבטחה שכבתית היא עקרון מקובל של אבטחת מחשבים ורשתות (ראה אבטחה מעמיקה). הנחת היסוד היא כי זה לוקח מספר שכבות של הגנה כדי להגן מפני מגוון רחב של התקפות ואיומים. לא רק מוצר אחד או טכניקה לא יכולים להגן מפני כל איום אפשרי, ולכן דורש מוצרים שונים עבור איומים שונים, אבל לאחר מספר שורות של הגנה יהיה בתקווה לאפשר למוצר אחד לתפוס דברים שאולי החליק בעבר את ההגנות החיצוניות.
יש הרבה יישומים והתקנים שניתן להשתמש בהם עבור השכבות השונות - תוכנות אנטי וירוס, חומות אש, IDS (חדירות איתור מערכות) ועוד. כל אחד מהם יש תפקיד שונה במקצת ומגן מפני קבוצה שונה של התקפות בצורה אחרת.
אחת הטכנולוגיות החדשות יותר היא ה- IPS- מערכת מניעת חדירות. שב"ס הוא קצת כמו שילוב של IDS עם חומת אש. IDS טיפוסי ינצל אותך או יזהיר אותך לתנועה חשודה, אבל התגובה נשארת לך. ל- IPS יש מדיניות וכללים שהוא משווה בין תעבורת הרשת. אם תנועה כלשהי מפרה את המדיניות ואת הכללים, ניתן להגדיר את שירות בתי הסוהר כדי להגיב במקום להזהיר אותך. תגובות טיפוסיות עשויות לחסום את כל התנועה מכתובת ה- IP של המקור או לחסום תנועה נכנסת ביציאה זו כדי להגן על המחשב או הרשת באופן יזום.
יש מבוססי רשת מניעת חדירות מערכות (NIPS) ויש מבוססי מארח מניעת חדירות מערכות (ירכיים). אמנם זה יכול להיות יקר יותר ליישם HIPS- במיוחד בסביבה ארגונית גדולה, אני ממליץ אבטחה מבוססת מארח בכל מקום אפשרי. עצירת חדירות וזיהומים ברמת תחנת העבודה הפרטנית יכולה להיות יעילה הרבה יותר בחסימת איומים, או לפחות בהכלתם. עם זה בחשבון, הנה רשימה של דברים לחפש פתרון ירכיים עבור הרשת שלך:
- לא מסתמך על חתימות : חתימות - או מאפיינים ייחודיים של איומים ידועים - הם אחד האמצעים העיקריים המשמשים את התוכנה כמו אנטי וירוס וזיהוי חדירות (IDS) .הנפילה של חתימות היא שהם תגובתי. חתימה לא ניתן לפתח עד לאחר איום קיים ואתה יכול לקבל מותקפת לפני החתימה נוצרת. פתרון HIPS שלך צריך להשתמש בזיהוי מבוסס חתימה יחד עם זיהוי מבוסס אנומליה אשר קובע את הבסיס של מה "רשת רגילה" פעילות נראה על המחשב שלך יגיב על כל תנועה זה נראה יוצא דופן. לדוגמה, אם המחשב שלך לא משתמש FTP ופתאום כמה איום מנסה לפתוח חיבור ה- FTP מהמחשב שלך, את ירכיים יזהה את זה בתור פעילות חריגה.
- עובד עם התצורה שלך : כמה פתרונות ירכיים עשויים להיות מגבילים במונחים של תוכניות או תהליכים שהם יכולים לפקח ולהגן. אתה צריך לנסות למצוא ירכיים כי הוא מסוגל לטפל חבילות מסחריות מהמדף, כמו גם כל היישומים המותאמים אישית הביתה אתה עשוי להשתמש. אם אתה לא משתמש ביישומים מותאמים אישית או לא מחשיב את זה בעיה משמעותית עבור הסביבה שלך, לפחות להבטיח כי הפתרון שלך ירכיים מגן על תוכניות ותהליכים אתה מפעיל.
- מאפשר לך ליצור מדיניות : רוב פתרונות HIPS מגיעים עם קבוצה מקיפה למדי של מדיניות מוגדרת מראש וספקים בדרך כלל מציעים עדכונים או לשחרר מדיניות חדשה כדי לספק תגובה ספציפית עבור איומים חדשים או התקפות. עם זאת, חשוב כי יש לך את היכולת ליצור את המדיניות שלך במקרה שיש לך איום ייחודי כי הספק אינו אחראי או כאשר איום חדש מתפוצץ ואתה צריך מדיניות כדי להגן על המערכת שלך לפני לספק יש זמן לשחרר עדכון. אתה צריך לוודא את המוצר שאתה משתמש לא רק יש לך את היכולת ליצור מדיניות, אבל זה יצירת מדיניות פשוטה מספיק כדי שתוכל להבין ללא שבועות של הכשרה או מיומנויות תכנות מומחה.
- מספק מרכז דיווח וניהול : בעוד אנחנו מדברים על הגנה מבוססת מארח עבור שרתים בודדים או תחנות עבודה, פתרונות HIPS ו NIPS הם יקרים יחסית מחוץ לתחום של משתמש ביתי טיפוסי. לכן, גם כאשר מדברים על ירכיים אתה כנראה צריך לשקול את זה מנקודת המבט של פריסת הירכיים על מאות ואולי שולחנות עבודה ושרתים ברחבי הרשת. אמנם זה נחמד יש הגנה ברמת שולחן העבודה הפרט, ניהול מאות מערכות בודדות, או מנסה ליצור דוח מאוחד יכול להיות כמעט בלתי אפשרי ללא דיווח מרכזי טוב וניהול. בעת בחירת מוצר, ודא שיש לו דיווח מרכזי וניהול כדי לאפשר לך לפרוס מדיניות חדשה לכל המכונות או ליצור דוחות מכל המכונות ממיקום אחד.
יש עוד כמה דברים שאתה צריך לזכור. ראשית, ירכיים NIPS הם לא "כדור כסף" עבור אבטחה. הם יכולים להיות תוספת נהדרת להגנה מוצקה ורב שכבתית הכוללת חומות אש ויישומי אנטי-וירוס, בין השאר, אך לא לנסות להחליף טכנולוגיות קיימות.
שנית, היישום הראשוני של פתרון ירכיים יכול להיות מדקדק. הגדרת התצורה המבוססת על אנומליה דורשת לעתים קרובות "מידה רבה של אחיזת ידיים" כדי לסייע ליישום להבין מהי תנועה "רגילה" ומה לא. אתה עלול להיתקל במספר תוצאות חיוביות שגויות או החמצת שליליות תוך כדי עבודה כדי לקבוע את קו הבסיס של מה שמגדיר תנועה "רגילה" עבור המכשיר שלך.
לבסוף, חברות בדרך כלל לבצע רכישות על סמך מה הם יכולים לעשות עבור החברה. נוהלי חשבונאות סטנדרטיים מצביעים על כך שמדידה זו תתבסס על ההחזר על ההשקעה, או החזר ה- ROI. רואי חשבון רוצים להבין אם הם משקיעים סכום כסף במוצר חדש או בטכנולוגיה, כמה זמן ייקח עבור המוצר או הטכנולוגיה לשלם עבור עצמו.
למרבה הצער, רשת מוצרי אבטחה המחשב אינם מתאימים בדרך כלל עובש זה. אבטחה פועלת על יותר ROI הפוכה. אם המוצר או הטכנולוגיה האבטחה עובד כפי שתוכנן הרשת תישאר בטוחה, אבל לא יהיה "רווח" כדי למדוד את ההחזר על ההשקעה מ. אתה צריך להסתכל על ההפך, ולשקול כמה החברה עלולה להפסיד אם המוצר או הטכנולוגיה לא היו במקום. כמה כסף היה צריך להיות בילה על שיקום שרתים, שחזור נתונים, זמן ומשאבים של להקדיש אנשי טכני לנקות לאחר התקפה, וכו '? אם לא המוצר עלול לגרום להפסד משמעותי יותר כסף מאשר המוצר או עלויות הטכנולוגיה ליישם, אז אולי זה הגיוני לעשות זאת.