Что нужно искать в предотвращении вторжений на хосте

Обзор СОВ Континент. Система обнаружения и предотвращения вторжений Континент. IDS. IPS. (Май 2025)

Обзор СОВ Континент. Система обнаружения и предотвращения вторжений Континент. IDS. IPS. (Май 2025)
Anonim

Многоуровневая безопасность - это общепринятый принцип безопасности компьютеров и сети (см. Раздел «Глубина безопасности»). Основная предпосылка заключается в том, что для защиты от множества атак и угроз требуется несколько уровней защиты. Мало того, что один продукт или техника не защищают от любой возможной угрозы, поэтому требуются разные продукты для разных угроз, но, имея многообразные способы защиты, мы надеемся позволить одному продукту поймать вещи, которые могли проскользнуть мимо внешней защиты.

Существует множество приложений и устройств, которые вы можете использовать для разных уровней - антивирусное программное обеспечение, брандмауэры, IDS (системы обнаружения вторжений) и многое другое. Каждый из них имеет немного другую функцию и защищает от другого набора атак по-другому.

Одной из новых технологий является система предотвращения вторжений IPS. IPS несколько напоминает объединение IDS с брандмауэром. Типичная IDS будет регистрировать или предупреждать вас о подозрительном трафике, но ответ остается за вами. IPS имеет политики и правила, по которым он сравнивает сетевой трафик. Если какой-либо трафик нарушает правила и правила, IPS может быть настроен для ответа, а не просто предупреждать вас. Типичными ответами могут быть блокирование всего трафика с исходного IP-адреса или блокировка входящего трафика на этом порту для активной защиты компьютера или сети.

Существуют сетевые системы предотвращения вторжений (NIPS) и существуют системы предотвращения вторжений на основе хоста (HIPS). Хотя внедрение HIPS может быть более дорогостоящим, особенно в большой корпоративной среде, я рекомендую безопасность на уровне хоста, где это возможно. Остановка вторжений и инфекций на уровне отдельных рабочих станций может быть гораздо более эффективной при блокировании или, по крайней мере, содержании угроз. Имея это в виду, вот список вещей, которые нужно искать в решении HIPS для вашей сети:

  • Не полагается на подписи: Подписи или уникальные характеристики известных угроз - являются одним из основных средств, используемых программным обеспечением, таким как антивирус и обнаружение вторжений (IDS). Падение сигнатур заключается в том, что они являются реактивными. Подпись не может быть разработана до тех пор, пока не появится угроза, и вы можете атаковать до создания подписи. В вашем решении HIPS должно использоваться обнаружение на основе сигнатур наряду с обнаружением на основе аномалий, которое устанавливает базовую линию, на которой «нормальная» активность сети выглядит на вашей машине, и будет реагировать на любой трафик, который кажется необычным. Например, если ваш компьютер никогда не использует FTP, и вдруг какая-то угроза пытается открыть FTP-соединение с вашего компьютера, HIPS обнаружит это как аномальную активность.
  • Работает с вашей конфигурацией: Некоторые решения HIPS могут быть ограничительными с точки зрения того, какие программы или процессы они могут контролировать и защищать. Вы должны попытаться найти HIPS, способный обрабатывать коммерческие пакеты с полки, а также любые домашние приложения, которые вы можете использовать. Если вы не используете пользовательские приложения или не считаете это серьезной проблемой для своей среды, по крайней мере убедитесь, что ваше решение HIPS защищает программы и процессы, которые вы делать запустить.
  • Позволяет создавать политики: Большинство решений HIPS поставляются с довольно полным набором предопределенных политик, и поставщики обычно предлагают обновления или выпускают новые политики, чтобы обеспечить конкретный ответ на новые угрозы или атаки. Тем не менее, важно, чтобы у вас была возможность создавать свои собственные политики в случае, если у вас есть уникальная угроза, которую поставщик не учитывает или когда новая угроза взрывается, и вам нужна политика для защиты вашей системы до у поставщика есть время для выпуска обновления. Вы должны убедиться, что продукт, который вы используете, не только дает вам возможность создавать политики, но создание этой политики достаточно просто для вас, чтобы вы могли понять без недель обучения или навыков экспертного программирования.
  • Предоставляет центральную отчетность и администрирование: Хотя мы говорим о защите на основе хоста для отдельных серверов или рабочих станций, решения HIPS и NIPS относительно дороги и не входят в сферу типичного домашнего пользователя. Таким образом, даже когда речь идет о HIPS, вам, вероятно, стоит подумать об этом с точки зрения развертывания HIPS на возможностях сотен рабочих столов и серверов по всей сети. Хотя хорошо иметь защиту на уровне отдельного рабочего стола, администрирование сотен отдельных систем или попытка создания сводного отчета могут быть практически невозможны без хорошей функции централизованной отчетности и администрирования. При выборе продукта убедитесь, что он имеет централизованную отчетность и администрирование, чтобы разрешить развертывание новых политик на всех машинах или создавать отчеты со всех компьютеров из одного места.

Есть еще несколько вещей, которые вам нужно иметь в виду. Во-первых, HIPS и NIPS не являются «серебряной пулей» для обеспечения безопасности. Они могут стать отличным дополнением к прочной, многоуровневой защите, включая межсетевые экраны и антивирусные приложения, но не должны пытаться заменить существующие технологии.

Во-вторых, первоначальная реализация решения HIPS может быть кропотливой. Для настройки обнаружения на основе аномалий часто требуется много «рук», чтобы помочь приложению понять, что такое «нормальный» трафик, а что нет. Вы можете столкнуться с несколькими ложными срабатываниями или пропущенными негативами, пока работаете, чтобы установить базовый уровень, определяющий «нормальный» трафик для вашей машины.

Наконец, компании обычно делают покупки на основе того, что они могут сделать для компании. Стандартная практика бухгалтерского учета предполагает, что это должно быть измерено на основе прибыли от инвестиций или рентабельности инвестиций.Бухгалтеры хотят понять, вкладывают ли они деньги в новый продукт или технологию, сколько времени потребуется, чтобы продукт или технология заплатили за себя.

К сожалению, сетевые и компьютерные продукты безопасности обычно не подходят для этой формы. Безопасность работает более с обратным ROI. Если продукт или технология безопасности работают в соответствии с проектом, сеть будет оставаться в безопасности, но не будет «прибыли» для измерения ROI. Вы должны посмотреть на обратное, и подумать, сколько может потерять компания, если продукт или технология не были на месте. Сколько денег нужно потратить на восстановление серверов, восстановление данных, время и ресурсы посвящения технического персонала для очистки после атаки и т. Д.? Если не может привести к тому, что продукт может привести к потере значительных затрат, чем затраты на продукт или технологию, то, возможно, имеет смысл сделать это.

Что нужно искать на NAB 2016

Что нужно искать на NAB 2016

Самое крупное событие в нашей индустрии грохочет назад в Sin City, чтобы атаковать наши чувства огромными датчиками, виртуальной реальностью.

Покупка 3D-телевизора - что вам нужно искать

Покупка 3D-телевизора - что вам нужно искать

Несмотря на то, что 3D-телевизоры были прекращены, все равно можно найти один использованный или по разрешению. Если это так, ознакомьтесь с некоторыми советами по покупке.

Бесплатное программное обеспечение для обнаружения вторжений и предотвращения вторжений

Бесплатное программное обеспечение для обнаружения вторжений и предотвращения вторжений

Бесплатное программное обеспечение для обнаружения вторжений (IDS) и предотвращения (IPS) помогает идентифицировать и реагировать на подозрительные действия в вашей сети.

Выбор редакции