Warstwowe zabezpieczenia to powszechnie akceptowana zasada bezpieczeństwa komputerowego i sieciowego (patrz Depth Security). Podstawowym założeniem jest to, że wymaga wielu warstw obrony, aby chronić przed szeroką gamą ataków i zagrożeń. Nie tylko jeden produkt lub technika nie jest w stanie ochronić przed wszelkim możliwym zagrożeniem, dlatego wymaga różnych produktów dla różnych zagrożeń, ale mając nadzieję, że posiadanie wielu linii obrony pozwoli, aby jeden produkt złapał rzeczy, które mogły wymknąć się poza zewnętrzną obronę.
Istnieje wiele aplikacji i urządzeń, z których można korzystać na różnych warstwach - oprogramowanie antywirusowe, zapory ogniowe, systemy IDS (Intrusion Detection Systems) i wiele innych. Każda z nich ma nieco inną funkcję i chroni przed innym zestawem ataków w inny sposób.
Jedną z nowszych technologii jest IPS-Intrusion Prevention System. IPS przypomina połączenie IDS z firewallem. Typowy IDS zarejestruje lub powiadomi cię o podejrzanym ruchu, ale odpowiedź pozostawi Ci odpowiedź. IPS ma zasady i reguły, z którymi porównuje ruch sieciowy. Jeśli jakikolwiek ruch narusza zasady i reguły, IPS może być skonfigurowany tak, aby odpowiadał, a nie tylko alarmował. Typowe odpowiedzi mogą polegać na blokowaniu całego ruchu ze źródłowego adresu IP lub blokowaniu ruchu przychodzącego na tym porcie w celu proaktywnej ochrony komputera lub sieci.
Istnieją sieciowe systemy zapobiegania włamaniom (NIPS) i istnieją oparte na hoście systemy zapobiegania włamaniom (HIPS). Chociaż wdrożenie HIPS może być droższe - szczególnie w dużym środowisku korporacyjnym, w miarę możliwości zalecam zabezpieczenia na poziomie hosta. Zatrzymywanie intruzów i infekcji na poziomie poszczególnych stacji roboczych może znacznie skuteczniej blokować lub przynajmniej zawierać zagrożenia. Mając to na uwadze, oto lista rzeczy, których należy szukać w rozwiązaniu HIPS dla twojej sieci:
- Nie zależy od podpisów: Podpisy - lub unikalne cechy znanych zagrożeń - są jednym z podstawowych środków wykorzystywanych przez oprogramowanie takie jak antywirus i wykrywanie włamań (IDS). Upadek sygnatur jest taki, że są one reaktywne. Podpis nie może zostać opracowany, dopóki nie pojawi się zagrożenie i potencjalnie zostaniesz zaatakowany przed utworzeniem podpisu. Twoje rozwiązanie HIPS powinno wykorzystywać wykrywanie oparte na sygnaturach wraz z wykrywaniem opartym na anomalii, które ustanawia linię podstawową "normalnej" aktywności sieciowej na twoim komputerze i reaguje na każdy ruch, który wydaje się nietypowy. Na przykład, jeśli twój komputer nigdy nie używa FTP i nagle jakieś zagrożenie próbuje otworzyć połączenie FTP z twojego komputera, HIPS wykryje to jako anormalną aktywność.
- Działa z twoją konfiguracją: Niektóre rozwiązania HIPS mogą być restrykcyjne pod względem tego, jakie programy lub procesy są w stanie monitorować i chronić. Powinieneś spróbować znaleźć HIPS, który będzie w stanie obsługiwać komercyjne paczki z półki, jak również wszelkie niestandardowe aplikacje domowe, których możesz używać. Jeśli nie korzystasz z niestandardowych aplikacji lub nie uważasz, że jest to istotny problem dla twojego środowiska, przynajmniej upewnij się, że Twoje rozwiązanie HIPS chroni programy i procesy robić biegać.
- Umożliwia tworzenie zasad: Większość rozwiązań HIPS zawiera dość obszerny zestaw wstępnie zdefiniowanych zasad, a dostawcy zwykle oferują aktualizacje lub udostępniają nowe zasady, aby zapewnić konkretną reakcję na nowe zagrożenia lub ataki. Jednak ważne jest, abyś miał możliwość tworzenia własnych zasad w przypadku, gdy masz wyjątkowe zagrożenie, którego dostawca nie uwzględnia lub gdy nowe zagrożenie eksploduje i potrzebujesz polityki, aby bronić swojego systemu przed sprzedawca ma czas na wydanie aktualizacji. Musisz upewnić się, że używany produkt ma nie tylko możliwość tworzenia zasad, ale tworzenie tych zasad jest na tyle proste, że możesz zrozumieć je bez tygodni szkolenia i umiejętności programowania specjalistycznego.
- Zapewnia centralne raportowanie i administrację: Podczas gdy mówimy o ochronie hosta dla poszczególnych serwerów lub stacji roboczych, rozwiązania HIPS i NIPS są relatywnie drogie i poza domeną typowego użytkownika domowego. Tak więc, nawet mówiąc o HIPS, prawdopodobnie należy rozważyć to z punktu widzenia wdrażania HIPS na prawdopodobnie setkach komputerów i serwerów w sieci. Chociaż miło jest mieć ochronę na poziomie pojedynczego komputera, administrowanie setkami pojedynczych systemów lub próby utworzenia skonsolidowanego raportu mogą być prawie niemożliwe bez dobrego centralnego raportowania i funkcji administrowania. Wybierając produkt, upewnij się, że ma scentralizowane raportowanie i administrację, aby umożliwić wdrażanie nowych zasad na wszystkich komputerach lub tworzenie raportów ze wszystkich komputerów z jednej lokalizacji.
Jest kilka innych rzeczy, o których musisz pamiętać. Po pierwsze, HIPS i NIPS nie są "srebrną kulą" dla bezpieczeństwa. Mogą być świetnym dodatkiem do solidnej, warstwowej ochrony obejmującej między innymi firewalle i aplikacje antywirusowe, ale nie powinny próbować zastępować istniejących technologii.
Po drugie, wstępne wdrożenie rozwiązania HIPS może być żmudne. Konfiguracja wykrycia opartego na anomalii często wymaga znacznego "trzymania ręki", aby pomóc aplikacji zrozumieć, co jest "normalnym" ruchem, a co nie. Podczas pracy nad ustaleniem linii bazowej tego, co definiuje "normalny" ruch na Twojej maszynie, możesz doświadczyć wielu fałszywych trafień lub pominiętych negatywów.
Wreszcie, firmy zazwyczaj dokonują zakupów w oparciu o to, co mogą zrobić dla firmy. Standardowa praktyka księgowa sugeruje, że należy to zmierzyć na podstawie zwrotu z inwestycji lub zwrotu z inwestycji.Księgowi chcą wiedzieć, czy zainwestują pewną sumę pieniędzy w nowy produkt lub technologię, ile czasu zajmie jej zapłacenie za produkt lub technologię.
Niestety, produkty bezpieczeństwa sieciowego i komputerowego na ogół nie pasują do tej formy. Zabezpieczenia działają bardziej na zwrotny zwrot z inwestycji. Jeśli produkt lub technologia bezpieczeństwa działa zgodnie z założeniami, sieć pozostanie bezpieczna, ale nie będzie "zysku" pozwalającego na pomiar zwrotu z inwestycji. Musisz jednak spojrzeć wstecz i zastanowić się, ile firma mogłaby stracić, gdyby produkt lub technologia nie były dostępne. Ile pieniędzy trzeba by wydać na odbudowę serwerów, odzyskiwanie danych, czas i zasoby poświęcania personelu technicznego na sprzątanie po ataku, itp.? Jeśli nie posiadanie produktu może potencjalnie doprowadzić do utraty znacznie więcej pieniędzy niż koszty produktu lub technologii do wdrożenia, być może ma to sens.
