Perkara Yang Harus Diperhatikan Dalam Pertahanan Terakhir Ini
Keselamatan berlapis adalah prinsip keselamatan komputer dan rangkaian yang diterima secara meluas (lihat Ke Kedalaman Keselamatan). Premis asas adalah bahawa ia memerlukan beberapa lapisan pertahanan untuk melindungi terhadap pelbagai serangan dan ancaman. Bukan sahaja satu produk atau teknik tidak boleh melindungi daripada setiap ancaman yang mungkin, oleh itu memerlukan produk yang berbeza untuk ancaman yang berbeza, tetapi mempunyai beberapa garis pertahanan yang diharapkan akan memungkinkan satu produk untuk menangkap hal-hal yang mungkin telah melewati pertahanan luar.
Terdapat banyak aplikasi dan peranti yang boleh anda gunakan untuk lapisan berlainan - perisian antivirus, firewall, IDS (Sistem Pengesan Intrusion) dan banyak lagi. Setiap mempunyai fungsi yang sedikit berbeza dan melindungi dari satu set serangan yang berbeza dengan cara yang berbeza.
Salah satu teknologi baru ialah Sistem Pencegahan Pencerobohan IPS. IPS agak seperti menggabungkan IDS dengan firewall. IDS tipikal akan log atau memberi isyarat kepada anda lalu lintas yang mencurigakan, tetapi respons yang diberikan kepada anda. IPS mempunyai dasar dan peraturan yang membandingkan trafik rangkaian. Jika mana-mana lalu lintas melanggar dasar dan peraturan, IPS boleh dikonfigurasi untuk bertindak balas daripada sekadar memberi amaran kepada anda. Jawapan biasa adalah untuk menyekat semua lalu lintas dari alamat IP sumber atau untuk menyekat lalu lintas masuk pada port tersebut untuk secara proaktif melindungi komputer atau rangkaian.
Terdapat sistem pencegahan intrusi berasaskan rangkaian (NIPS) dan terdapat sistem pencegahan pencerobohan berasaskan hos (HIPS). Walaupun ia boleh menjadi lebih mahal untuk melaksanakan HIPS - terutamanya dalam persekitaran perusahaan yang besar, saya mencadangkan keselamatan berasaskan tuan rumah di mana mungkin. Menghentikan pencerobohan dan jangkitan di peringkat stesen kerja individu boleh menjadi lebih berkesan pada menyekat, atau sekurang-kurangnya mengandungi, ancaman. Dengan itu, inilah senarai perkara yang perlu dicari dalam penyelesaian HIPS untuk rangkaian anda:
- Tidak Mengandungi Tanda Tangan : Tanda tangan atau ciri unik ancaman yang diketahui adalah salah satu cara utama yang digunakan oleh perisian seperti pengesanan antivirus dan pencerobohan (IDS). Kejatuhan tandatangan adalah bahawa mereka adalah reaktif. Tandatangan tidak boleh dibangunkan sehingga selepas ancaman ada dan anda berpotensi dapat diserang sebelum tandatangan dibuat. Penyelesaian HIPS anda harus menggunakan pengesanan berasaskan tandatangan bersama dengan pengesanan berasaskan anomali yang menetapkan garis dasar dari apa yang "normal" aktiviti rangkaian seperti pada mesin anda dan akan bertindak balas kepada mana-mana lalu lintas yang kelihatan luar biasa. Sebagai contoh, jika komputer anda tidak menggunakan FTP dan tiba-tiba sesetengah ancaman cuba membuka sambungan FTP dari komputer anda, HIPS akan mengesan ini sebagai aktiviti anomali.
- Bekerja Dengan Konfigurasi Anda : Sesetengah penyelesaian HIPS boleh menjadi ketat dari segi program atau proses yang mereka dapat memantau dan melindungi. Anda harus cuba mencari HIPS yang mampu mengendalikan pakej komersil dari rak serta aplikasi kustom yang ditanam di rumah yang mungkin anda gunakan. Sekiranya anda tidak menggunakan aplikasi tersuai atau tidak menganggap ini masalah yang besar untuk persekitaran anda, sekurang-kurangnya memastikan bahawa penyelesaian HIPS anda melindungi program dan proses yang anda jalankan.
- Membolehkan Anda Membuat Dasar : Kebanyakan penyelesaian HIPS datang dengan satu set dasar yang jelas dan vendor yang lazimnya lazimnya menawarkan pembaharuan atau melepaskan dasar-dasar baru untuk memberikan respons khusus untuk ancaman atau serangan baru. Walau bagaimanapun, adalah penting bahawa anda mempunyai keupayaan untuk membuat dasar anda sendiri sekiranya anda mempunyai ancaman unik yang vendor tidak menyumbang atau apabila ancaman baru meletup dan anda memerlukan dasar untuk mempertahankan sistem anda sebelum vendor mempunyai masa untuk melepaskan kemas kini. Anda perlu memastikan produk yang anda gunakan bukan sahaja mempunyai keupayaan untuk membuat dasar tetapi penciptaan dasar adalah cukup mudah untuk anda memahami tanpa latihan minggu atau kemahiran pengaturcaraan pakar.
- Menyediakan Pelaporan dan Pentadbiran Pusat : Walaupun kita bercakap mengenai perlindungan berasaskan tuan rumah untuk pelayan individu atau stesen kerja, penyelesaian HIPS dan NIPS agak mahal dan di luar alam pengguna rumah biasa. Oleh itu, walaupun ketika bercakap tentang HIPS, anda mungkin perlu mempertimbangkannya dari sudut pandang HIPS mengenai ratusan desktop dan pelayan di seluruh rangkaian. Walaupun sangat baik untuk mempunyai perlindungan pada tahap desktop individu, mentadbir beratus-ratus sistem individu, atau cuba membuat laporan yang disatukan hampir tidak mungkin tanpa pelaporan pusat yang baik dan fungsi pentadbir. Apabila memilih produk, pastikan ia mempunyai pelaporan dan pentadbiran terpusat untuk membolehkan anda menggunakan dasar baharu untuk semua mesin atau untuk membuat laporan dari semua mesin dari satu lokasi.
Terdapat beberapa perkara lain yang perlu anda ingat. Pertama, HIPS dan NIPS bukanlah "peluru perak" untuk keselamatan. Mereka boleh menjadi tambahan hebat kepada pertahanan yang kukuh, termasuk firewall dan aplikasi antivirus antara lain, tetapi jangan cuba mengganti teknologi yang ada.
Kedua, pelaksanaan awal larutan HIPS boleh menjadi teliti. Mengkonfigurasi pengesanan berasaskan anomali sering memerlukan banyak "tangan-tangan" untuk membantu aplikasi memahami apa yang "biasa" lalu lintas dan apa yang tidak. Anda mungkin mengalami sejumlah positif palsu atau negatif yang tidak dijangka semasa anda bekerja untuk menetapkan asas apa yang mentakrifkan lalu lintas "biasa" untuk mesin anda.
Akhirnya, syarikat umumnya membuat pembelian berdasarkan apa yang boleh mereka lakukan untuk syarikat. Amalan perakaunan standard menunjukkan bahawa ini diukur berdasarkan pulangan pelaburan, atau ROI. Akauntan ingin memahami jika mereka melabur sejumlah wang dalam produk atau teknologi baru, berapa lama masa yang diperlukan untuk produk atau teknologi untuk membayar sendiri.
Malangnya, produk rangkaian dan keselamatan komputer tidak sepadan dengan acuan ini. Keselamatan berfungsi dengan lebih banyak ROI terbalik. Sekiranya produk atau teknologi keselamatan berfungsi seperti yang dirancang rangkaian akan tetap selamat - tetapi tidak akan ada "keuntungan" untuk mengukur ROI dari. Anda perlu melihat sebaliknya dan mempertimbangkan berapa banyak syarikat boleh kehilangan jika produk atau teknologi tidak disediakan. Berapa banyak wang yang perlu dibelanjakan untuk membina semula pelayan, memulihkan data, masa dan sumber daya yang mendedikasikan kakitangan teknikal untuk membersihkan selepas serangan, dll? Jika tidak mempunyai produk berpotensi mengakibatkan kehilangan lebih banyak wang daripada kos produk atau teknologi untuk dilaksanakan, maka mungkin masuk akal untuk melakukannya.