Bu sonuncu müdafiə xəttində axtarmaq üçün işlər
Laylı təhlükəsizliyi kompüter və şəbəkə təhlükəsizliyi sahəsində geniş qəbul olunmuş prinsipdir (dərinlik təhlükəsizliyi bax). Bəzi əsaslar hücum və təhdidlərin müxtəlifliyindən qorunmaq üçün çoxsaylı müdafiə səviyyələrindən ibarətdir. Bir məhsul və ya texnika hər cür təhlükəyə qarşı qoruymur, buna görə müxtəlif təhlükələrə görə fərqli məhsullar tələb edir, amma bir neçə müdafiə xəttinə malik olan bir məhsul ümumiyyətlə bir xarici məhsuldan keçmiş ola bilən şeyləri tutmağa imkan verəcəkdir.
Müxtəlif katmanlar üçün istifadə edə biləcək bir çox proqram və qurğu var - antivirus proqramları, firewalllar, IDS (Intrusion Detection Systems) və daha çox. Hər birinə bir az fərqli funksiya var və fərqli bir hücum qrupundan fərqli bir şəkildə qoruyur.
Yeni texnologiyalardan biri, IPS-nun Müdafiəsi qarşısının alınması Sistemi. Bir IPS, bir IDS'yi bir firewall ilə birləşdirmək kimi. Tipik bir IDS sizi şübhəli trafikə daxil edəcək və ya xəbərdar edəcək, lakin cavab sizə qalır. IPS şəbəkə trafiki müqayisə edən siyasət və qaydalar var. Hər hansı bir trafik, siyasət və qaydaları pozursa, IPS sadəcə sizi xəbərdar etmək əvəzinə cavab vermək üçün konfiqurasiya edilə bilər. Tipik cavablar, mənbəyi IP ünvanından bütün trafikləri bloklamaq və ya kompüter və ya şəbəkəni proaktiv şəkildə qorumaq üçün həmin limandakı daxil olan trafikə mane olmaq üçün ola bilər.
Şəbəkə əsaslı müdaxilələrin qarşısının alınması sistemləri (NIPS) mövcuddur və ev sahibi əsaslı intrusion qarşısının alınması sistemləri (HIPS) var. HIPS-i xüsusilə böyük, müəssisə mühitində tətbiq etmək daha bahalı olmasına baxmayaraq mümkün olduğunda host-based təhlükəsizliyi təklif edirəm. Fərdi iş istasyonu səviyyəsində intruziya və infeksiyaların dayandırılması, ən azı, təhlükələrə mane olmaq və daha çox təsir edə bilər. Bunun nəzərə alınması ilə, şəbəkə üçün HIPS həllində axtaracaq bir şeylərin siyahısı:
- İmzalara etibar etməyin : İmzalar - ya da bilinən təhdidlərin nadir xüsusiyyətləri - antivirus və müdaxilənin aşkarlanması (IDS) kimi proqram tərəfindən istifadə olunan əsas vasitələrdən biridir .Qeyfiyyətlərin azalması onlar reaktivdir. Bir imza, təhdid olduğundan və imza yaranmadan əvvəl potensial hücuma məruz qalana qədər inkişaf edə bilməz. Sizin HIPS həlli anomaliya əsaslı aşkarlama ilə yanaşı imza əsaslı aşkarlamadan istifadə etməlidir və bu da "normal" şəbəkə fəaliyyətinizin maşınınıza necə baxdığını və qeyri-adi görünən hər hansı bir trafikə cavab verəcəyini əsas gətirir. Məsələn, əgər kompüteriniz FTP-ni heç vaxt istifadə etmirsə və birdən-birə bir təhlükə kompüterinizdən bir FTP bağlantısı açmağa çalışırsa, HIPS bunu anomal fəaliyyət kimi təsbit edəcəkdir.
- Konfiqurasiya ilə işləyir : Bəzi HIPS həlləri izləmək və qorumaq üçün hansı proqramlar və proseslər baxımından məhdud ola bilər. Ticarət paketlərini, şəffaflıqdan istifadə edə biləcək bir HIPS və istifadə edə biləcək hər hansı bir evdə yetişən xüsusi tətbiq tapmağa çalışmalısınız. Xüsusi tətbiqləri istifadə etmirsinizsə və ya bu mühit üçün əhəmiyyətli bir problemi düşünmürsənsə, ən azı HIPS həllinin etdiyiniz proqramlar və prosesləri qoruduğundan əmin olun.
- Politikalar yaratmağa imkan verir : Çox HIPS həlləri əvvəlcədən müəyyən edilmiş siyasətlərin olduqca geniş bir dəsti ilə gəlir və satıcılar, adətən, yeni təhdidlər və ya hücumlar üçün xüsusi cavab vermək üçün yenilikləri təqdim edir və ya yeni siyasətlərini buraxırlar. Bununla yanaşı, satıcıınızın hesabat vermədiyi və ya yeni bir təhlükə yarandığında və təhlükəsizliyiniz qarşısında sisteminizi müdafiə etmək üçün bir siyasətə ehtiyac duyduğunuzda, öz siyasətinizi yaratmaq qabiliyyətinizin olması vacibdir. satıcı bir yeniləməni azad etmək vaxtı var. Siz istifadə etdiyiniz məhsulun yalnız siyasət yaratma qabiliyyətinizə malik olmadığından əmin olmalısınız, amma bu siyasətin yaradıcısı həftə təlim və ya ekspert proqramı bacarıqları olmadan başa düşmək üçün kifayət qədər sadədir.
- Mərkəzi Hesabat və İdarəetmə təmin edir : Hiper və ya NIPS həlləri, fərdi serverlər və ya iş istasyonları üçün ev sahibi əsaslı qorunma haqqında danışarkən, nisbətən bahalıdır və tipik bir ev istifadəçisinin ərazisindən kənarda. Beləliklə, HIPS haqqında söhbət edərkən, ehtimal ki, HIPS-i şəbəkə daxilində işləyən yüzlərlə masaüstü və serverdə yerləşdirmək baxımından ehtimal olmalıdır. Fərdi masa üstü səviyyədə qorunması gözəl olsa da, yüzlərlə fərdi sistemin idarə edilməsi və ya birləşdirilmiş hesabat yaratmaq üçün yaxşı bir mərkəzi hesabat vermədən və funksiyanı idarə etmədən təxminən mümkün deyildir. Bir məhsul seçərkən, bütün maşınlara yeni siyasət tətbiq etməyə və ya bütün maşınlardan bir yerdən hesabat hazırlamağa imkan verən mərkəzləşdirilmiş hesabat və idarəetmə sisteminə malik olduğundan əmin olun.
Yadda saxlamaq lazımdır bir neçə başqa şey var. Birincisi, HIPS və NIPS təhlükəsizlik üçün "gümüş güllə" deyildir. Onlar digər məsələlərlə yanaşı, mühafizə və antivirus proqramları da daxil olmaqla möhkəm, layiqli müdafiə üçün böyük bir əlavə ola bilər, lakin mövcud texnologiyaların əvəz edilməsinə çalışmamalıdır.
İkincisi, bir HIPS həllinin ilkin tətbiq olunması çox vacibdir. Anomaliya əsaslı aşkarlamanın konfiqurasiyası tez-tez tətbiqi "normal" trafikin nə olduğunu və nə olmadıqlarını anlamaq üçün yaxşı bir "əl tutma" tələb edir. Sizin cihazınız üçün "normal" trafikin müəyyənləşdirilməsinin əsasını yaratmaq üçün işləyərkən bir sıra yanlış pozitivlər və ya qaçırılmış negativlər ola bilər.
Nəhayət, şirkətlər ümumiyyətlə şirkət üçün nə edə biləcəyinə əsasən alqı-satqı edirlər. Standart mühasibat təcrübəsi bu investisiyanın qaytarılması və ya ROI əsasında ölçülməsini göstərir. Mühasiblər, yeni bir məhsul və ya texnologiyaya bir miqdar pul sərf etsələr, məhsul və ya texnologiyanın özü üçün nə vaxt ödənəcəyini anlamaq istəyir.
Təəssüf ki, şəbəkə və kompüter təhlükəsizlik məhsulları ümumiyyətlə bu kalıba sığmaz. Təhlükəsizlik, əks-investisiyaların daha çox üzərində işləyir. Təhlükəsiz məhsul və ya texnologiya işləyən şəbəkə təhlükəsiz qalacaqsa, lakin ROI-nı ölçmək üçün heç bir "mənfəət" olmayacaq. Tərsinə baxmalı və məhsulun və ya texnologiyanın olmadığı təqdirdə şirkətin nə qədər itirəcəyini nəzərə almalıyıq. Serverlərin yenidən qurulmasına, məlumatların bərpa olunmasına, hücumdan sonra təmizlənmək üçün texniki personalın vaxtını və resurslarını və s. Əgər məhsulun olmaması məhsul və ya texnologiya xərclərindən daha çox pul itirməklə nəticələnə bilərsə, bəlkə də bunu etmək mantiqidir.