Dingen om yn dizze lêste line fan definsje te sykjen
Ljeppe feiligens is in breed akseptearre prinsipe fan kompjûter- en netwurkfeiligens (sjoch yn Tjippe feiligens). De basisfoarming is dat it in protte lagen fan definsje nimt om te beskermjen tsjin de breed ferskaat oan oanfallen en bedrigingen. Net allinich kin ien produkt of technyk net beskermje tsjin alle mooglike bedriging, dus wêrom't ferskillende produkten foar ferskillende bedrigingen nedich binne, mar hawwe meardere rigels fan defensje itselde as ien produkt te meitsjen om dingen te finen dy't oer de bûtende ferdigening komme kinne.
Der binne genôch applikaasjes en apparaten dy't jo brûke kinne foar de ferskillende lagen- antivirus-programma's, firewalls, IDS (Intrusion Detection Systems) en mear. Elk hat in lyts oare funksje en beskermet fan in ferskillende opset fan oanfallen op in oare manier.
Ien fan 'e nijere technologyen is it IPS- yntinsjebehearsysteem. In IPS is in bytsje kombinearjen fan in IDS mei in firewall. In karakteristike IDS sil jo oanmeld meitsje of warskôgje op fertochte ferkear, mar it antwurd is nei jo ferlitten. In IPS hat belied en regels dat it netwurkferkear fergelykje. As in ferkear it belied ferlies en regels kin de IPS ynsteld wurde om antwurd te annulearjen as jo gewoan jo warskôge. Typike reaksjes kinne wêze om alle ferkear fan it boarne-IP-adres te blokkearjen of in ynkommende ferkear op dizze poarte te blokkearje om de kompjûter of netwurk proaktiv te beskermjen.
Der binne netwurk-basearre ynterveksje-previnsje-systemen (NIPS) en der binne host-basearre ynterveksje-previnsje-systemen (HIPS). Wylst it djoerder wurde kin om HIPS- yn te fieren, benammen yn in grutte, bedriuwsomjouwing, advisearje ik op hûs basearre feiligens wêr mooglik. Ynstekingen fan ynturnen en ynfeksjes op 'e yndividuele workstationnivo kinne folle effektiver wurde foar blokkearjen, of op syn minst, bedrigingen. Mei dat op 't paad is hjir in list fan dingen om te sykjen yn in HIPS-oplossing foar jo netwurk:
- Net opsykje op Signatueren: Signatueren- of unyk skaaimerken fan bekende bedrigingen - binne ien fan 'e primêre middels dy't brûkt wurde troch software as Antivirus en yndrukte-deteksje (IDS). De ferfal fan sinjatuer is dat se reaktyf binne. In hântekening kin net ûntwikkele wurde nei't in bedriging bestiet en jo kinne foarkommen wurde foarkommen foardat de sinjatuer makke is. Jo HIPS-oplossing moat signatike basearre deteksje brûke, mei anomaly-basearre ûntdekking dy't in baseline fan wat "normale" netwurkaktiviteit op 'e grûn leit op jo machine en sil reagearje op ien ferkear dat ûngewoan ferskynt. As jo bygelyks jo kompjûter no FTP brûke, en besykje in geweldige bedriging te probearjen om in FTP-ferbining te iepenjen fan jo kompjûter, dan sille de HIPS dizze as anomale aktiviteiten selektearje.
- Wurkje mei jo konfiguraasje : Guon HIPS-oplossings kinne restriktive wêze yn hokker programma's of prosessen dy't se kontrolearje en beskermje kinne. Jo moatte besykje in HIPS te finen dy't foldogge oan kommersjele pakketten fan 'e regel, en ek alle húshâldlike oanpaste applikaasjes dy't jo brûke kinne. As jo gjin oanpaste applikaasjes brûke of net in wichtich probleem hawwe foar jo miljeu, sille yn alle gefallen derfoar soargje dat jo HIPS-oplossing beskermet de programma 's en prosessen dy't jo útfiere.
- Meitsje jo regeljouwing oan te meitsjen : De measte HIPS-oplossings komme mei in noflike wiidweidige set fan fêste definysjes en ferkeapers sil typysk aktualisearje of nije belied oanfreegje om in spesifike antwurd te jaan foar nije bedrigingen of oanfallen. It is lykwols belangryk dat jo de mooglikheid hawwe om jo eigen belied te meitsjen yn it barren dat jo in unike gefolch hawwe dat de fertsjinwurdiger net oanrekket of as in nije bedriging eksplodet en jo nedich hawwe in belied om jo systeem foar jo te ferdigenjen. Ferkeaper hat tiid om in update los te meitsjen. Jo moatte derfoar soargje dat it produkt dat jo brûke net allinich de mooglikheid hat om jo belied te meitsjen, mar dy beliedsnota is ienfâldich genôch foar jo te begjinnen sûnder wiken fan trening of kompetysearprogrammingsfeardigens.
- Biedt sintrale rapport en administraasje : Wylst wy prate oer host-basearre beskerming foar yndividuele servers of workstations, binne HIPS- en NIPS-oplossings relatyf djoer en bûten it ryk fan in typyske thúsgebrûmer. Dus, sels as jo oer HIPS sprekke, moatte jo it wierskynlik hawwe dat it fan 'e hichtepunt is om HIPS op mooglik hûnderten fan buroblêden en tsjinners oer in netwurk te brûken. Wylst it leuk is om beskermje te beskermjen op it yndividuele buroblêdnivo, hanthavenjen fan hûnderten yndividuele systemen, of besykje in konsolidearre rapport te meitsjen, kin hast unmooglik wêze sûnder in goede sintrale rapporting en administraasjefunksje. As jo in produkt selektearje, soargje derfoar dat it sintrale rapporting en administraasje hat om jo nije beliedstellingen te brûken foar alle masines of it meitsjen fan berjochten fan alle masines fan ien lokaasje.
Der binne in pear oare dingen dy't jo yn 'e holle hâlde moatte. Earst, HIPS en NIPS binne gjin "sulveren kûle" foar feiligens. Se kinne in geweldige oanfolling wêze foar in solide, ljochte ferdigening, lykas firewalls en antivirus-tapassingen, ûnder oare, mar moatte net besykje besteande technologyen te ferfangen.
Twadder kin de earste ynfiering fan in HIPS-oplossing pynlik wêze. It konfigurearjen fan de anomaly-basearre deteksje fereasket faak in goede "handheld" om de applikaasje te helpen te begripen wat "normaal" ferkear en wat is net. Jo kinne in oantal falske positiven hawwe of miskien negatyf fûn, wylst jo wurkje om de baseline fan wat te fermelden "normaal" ferkear foar jo masine.
Lêstend meitsje bedriuwen algemien akkommodaasjes basearre op wat se kinne foar it bedriuw dwaan. Standard accounting practice sugestts dat dit gemengd wurde basearre op 'e weromreis op ynvestearring, of ROI. Boeren wolle wol begripe as se in summa jild ynvestearje yn in nij produkt of technology, hoe lang sil it produkt of technology te nimmen om sels te beteljen.
Spitigernôch passe netwurk en kompjûterfeiligens net oerien mei dizze mûs. Feiligens wurket op mear fan in reverse-ROI. As it feiligensprodukt of technology brûkt wurket as it netwurk feilich bliuwt, sil der gjin "winst" wêze om in ROI te mjitten. Jo moatte ek op 'e rjochte sjogge en beskôgje hoefolle it bedriuw ferlieze kin as it produkt of technology net yn plak wie. Hoefolle jild soe nedich wêze moatte op werombeteljen fan servers, werjaan fan gegevens, de tiid en helpboarnen fan it techjen fan technysk persoanen om nei in oanfal te reitsjen, ensfh. As net it produkt hat kin potentysk resultaat bliuwe fan signifikant mear jild as it produkt of technologykosten om te ymplementearjen, dan is miskien it sin te meitsjen.