מניעת חדירה מבוססת מארח

דברים לחפש בשורה האחרונה של ההגנה

אבטחה שכבתית היא עקרון מקובל של אבטחת מחשבים ורשתות (ראה אבטחה מעמיקה). הנחת היסוד היא כי זה לוקח מספר שכבות של הגנה כדי להגן מפני מגוון רחב של התקפות ואיומים. לא רק מוצר אחד או טכניקה לא יכולים להגן מפני כל איום אפשרי, ולכן דורש מוצרים שונים עבור איומים שונים, אבל לאחר מספר שורות של הגנה יהיה בתקווה לאפשר למוצר אחד לתפוס דברים שאולי החליק בעבר את ההגנות החיצוניות.

יש הרבה יישומים והתקנים שניתן להשתמש בהם עבור השכבות השונות - תוכנות אנטי וירוס, חומות אש, IDS (חדירות איתור מערכות) ועוד. כל אחד מהם יש תפקיד שונה במקצת ומגן מפני קבוצה שונה של התקפות בצורה אחרת.

אחת הטכנולוגיות החדשות יותר היא ה- IPS- מערכת מניעת חדירות. שב"ס הוא קצת כמו שילוב של IDS ​​עם חומת אש. IDS טיפוסי ינצל אותך או יזהיר אותך לתנועה חשודה, אבל התגובה נשארת לך. ל- IPS יש מדיניות וכללים שהוא משווה בין תעבורת הרשת. אם תנועה כלשהי מפרה את המדיניות ואת הכללים, ניתן להגדיר את שירות בתי הסוהר כדי להגיב במקום להזהיר אותך. תגובות טיפוסיות עשויות לחסום את כל התנועה מכתובת ה- IP של המקור או לחסום תנועה נכנסת ביציאה זו כדי להגן על המחשב או הרשת באופן יזום.

יש מבוססי רשת מניעת חדירות מערכות (NIPS) ויש מבוססי מארח מניעת חדירות מערכות (ירכיים). אמנם זה יכול להיות יקר יותר ליישם HIPS- במיוחד בסביבה ארגונית גדולה, אני ממליץ אבטחה מבוססת מארח בכל מקום אפשרי. עצירת חדירות וזיהומים ברמת תחנת העבודה הפרטנית יכולה להיות יעילה הרבה יותר בחסימת איומים, או לפחות בהכלתם. עם זה בחשבון, הנה רשימה של דברים לחפש פתרון ירכיים עבור הרשת שלך:

יש עוד כמה דברים שאתה צריך לזכור. ראשית, ירכיים NIPS הם לא "כדור כסף" עבור אבטחה. הם יכולים להיות תוספת נהדרת להגנה מוצקה ורב שכבתית הכוללת חומות אש ויישומי אנטי-וירוס, בין השאר, אך לא לנסות להחליף טכנולוגיות קיימות.

שנית, היישום הראשוני של פתרון ירכיים יכול להיות מדקדק. הגדרת התצורה המבוססת על אנומליה דורשת לעתים קרובות "מידה רבה של אחיזת ידיים" כדי לסייע ליישום להבין מהי תנועה "רגילה" ומה לא. אתה עלול להיתקל במספר תוצאות חיוביות שגויות או החמצת שליליות תוך כדי עבודה כדי לקבוע את קו הבסיס של מה שמגדיר תנועה "רגילה" עבור המכשיר שלך.

לבסוף, חברות בדרך כלל לבצע רכישות על סמך מה הם יכולים לעשות עבור החברה. נוהלי חשבונאות סטנדרטיים מצביעים על כך שמדידה זו תתבסס על ההחזר על ההשקעה, או החזר ה- ROI. רואי חשבון רוצים להבין אם הם משקיעים סכום כסף במוצר חדש או בטכנולוגיה, כמה זמן ייקח עבור המוצר או הטכנולוגיה לשלם עבור עצמו.

למרבה הצער, רשת מוצרי אבטחה המחשב אינם מתאימים בדרך כלל עובש זה. אבטחה פועלת על יותר ROI הפוכה. אם המוצר או הטכנולוגיה האבטחה עובד כפי שתוכנן הרשת תישאר בטוחה, אבל לא יהיה "רווח" כדי למדוד את ההחזר על ההשקעה מ. אתה צריך להסתכל על ההפך, ולשקול כמה החברה עלולה להפסיד אם המוצר או הטכנולוגיה לא היו במקום. כמה כסף היה צריך להיות בילה על שיקום שרתים, שחזור נתונים, זמן ומשאבים של להקדיש אנשי טכני לנקות לאחר התקפה, וכו '? אם לא המוצר עלול לגרום להפסד משמעותי יותר כסף מאשר המוצר או עלויות הטכנולוגיה ליישם, אז אולי זה הגיוני לעשות זאת.