Lagrad säkerhet är en allmänt accepterad princip för dator- och nätverkssäkerhet (se Depth Security). Den grundläggande förutsättningen är att det tar flera lager av försvar för att skydda mot det stora utbudet av attacker och hot. Inte bara kan en produkt eller teknik inte skydda mot alla möjliga hot, vilket kräver olika produkter för olika hot, men att ha flera försvarskanaler kommer förhoppningsvis att tillåta en produkt att fånga saker som kan ha glidit över det yttre försvaret.
Det finns många applikationer och enheter som du kan använda för olika lager-antivirusprogram, brandväggar, IDS (Intrusion Detection Systems) och mer. Var och en har en något annorlunda funktion och skyddar sig från en annan uppsättning attacker på ett annat sätt.
En av de nyare teknikerna är IPS-Intrusion Prevention System. En IPS är ungefär som att kombinera en IDS med en brandvägg. En typisk IDS loggar eller varnar dig för misstänkt trafik, men svaret lämnas till dig. En IPS har policyer och regler som det jämför nätverkstrafik till. Om någon trafik bryter mot policy och regler kan IPS konfigureras att svara snarare än att bara varna dig. Typiska svar kan vara att blockera all trafik från källans IP-adress eller för att blockera inkommande trafik på den porten för att proaktivt skydda datorn eller nätverket.
Det finns nätverksbaserade intrångsförebyggande system (NIPS) och det finns värdbaserade intrångsskyddssystem (HIPS). Även om det kan vara dyrare att implementera HIPS-speciellt i en stor företagsmiljö, rekommenderar jag värdbaserad säkerhet där det är möjligt. Att stoppa intrång och infektioner på den enskilda arbetsstationsnivån kan vara mycket effektivare vid blockering eller åtminstone innehålla hot. Med det i åtanke är här en lista med saker att leta efter i en HIPS-lösning för ditt nätverk:
- Lita inte på signaturer: Signaturer - eller unika egenskaper hos kända hot - är ett av de främsta sätt som används av programvara som antivirus och intrångsdetektering (IDS). Underskottet av signaturer är att de är reaktiva. En signatur kan inte utvecklas förrän efter ett hot och du kan eventuellt bli attackerad innan signaturen skapas. Din HIPS-lösning ska använda signaturbaserad detektering tillsammans med anomalibaserad detektering som fastställer en utgångspunkt för vilken "normal" nätverksaktivitet ser ut på din maskin och kommer att svara på all trafik som uppträder ovanligt. Om din dator till exempel aldrig använder FTP och plötsligt försöker vissa hot att öppna en FTP-anslutning från din dator, upptäckte HIPS det som en avvikande aktivitet.
- Fungerar med din konfiguration: Några HIPS-lösningar kan vara begränsande när det gäller vilka program eller processer de kan övervaka och skydda. Du bör försöka hitta en HIPS som kan hantera kommersiella paket från hyllan såväl som alla hemmagjorda anpassade applikationer du kan använda. Om du inte använder anpassade program eller anser det inte vara ett viktigt problem för din miljö, ska du åtminstone se till att din HIPS-lösning skyddar programmen och behandlar dig do springa.
- Ger dig möjlighet att skapa policyer: De flesta HIPS-lösningarna levereras med en ganska omfattande uppsättning av fördefinierade policyer och leverantörer kommer vanligtvis att erbjuda uppdateringar eller släppa nya policyer för att ge ett specifikt svar för nya hot eller attacker. Det är emellertid viktigt att du har möjlighet att skapa en egen policy om du har ett unikt hot som säljaren inte tar hänsyn till eller när ett nytt hot exploderar och du behöver en policy för att försvara ditt system före leverantören har tid att släppa en uppdatering. Du måste se till att den produkt du använder inte bara har möjlighet för dig att skapa policyer, men den politiska skapandet är enkelt så att du kan förstå utan veckor av träning eller expertprogrammering.
- Ger centralrapportering och administration: Medan vi pratar om värdbaserat skydd för enskilda servrar eller arbetsstationer, är HIPS och NIPS-lösningar relativt dyra och utanför riken för en typisk hemmabrukare. Så även om du pratar om HIPS måste du förmodligen överväga det från att använda HIPS på möjligen hundratals stationära datorer och servrar över ett nätverk. Även om det är trevligt att ha skydd på enskild skrivbordsnivå kan administrering av hundratals enskilda system eller försök att skapa en konsoliderad rapport vara nästan omöjligt utan en bra central rapportering och administreringsfunktion. När du väljer en produkt, se till att den har centraliserad rapportering och administration, så att du kan distribuera nya policyer till alla maskiner eller skapa rapporter från alla maskiner från en plats.
Det finns några andra saker du behöver tänka på. Först är HIPS och NIPS inte en "silver bullet" för säkerhet. De kan vara ett utmärkt tillskott till ett solidt, skiktat försvar, inklusive brandväggar och antivirusprogram, bland annat, men bör inte försöka ersätta befintlig teknik.
För det andra kan den initiala implementeringen av en HIPS-lösning vara noggrann. Konfigurering av anomalibaserad detektering kräver ofta en hel del "handhållande" för att hjälpa applikationen att förstå vad som är "normal" trafik och vad som inte är. Du kan uppleva ett antal falska positioner eller missade negativ medan du arbetar för att fastställa baslinjen för vad som definierar "normal" trafik för din maskin.
Slutligen gör företagen generellt köp baserat på vad de kan göra för företaget. Standard redovisningspraxis antyder att detta mäts baserat på avkastning på investeringar eller avkastning.Revisorer vill förstå om de investerar en summa pengar i en ny produkt eller teknik, hur lång tid tar det för produkten eller tekniken att betala för sig själv.
Tyvärr passar nätverks- och datorsäkerhetsprodukter inte i allmänhet denna form. Säkerhet fungerar på mer av en omvänd avkastning. Om säkerhetsprodukten eller tekniken fungerar som utformad, fortsätter nätverket att vara säkert, men det finns ingen vinst för att mäta avkastning. Du måste titta på omvänden men och överväga hur mycket företaget skulle kunna förlora om produkten eller tekniken inte var på plats. Hur mycket pengar skulle behöva spenderas på att bygga upp servrar, återställa data, tid och resurser för att avsätta teknisk personal för att städa upp efter en attack osv? Om du inte har produkten kan det leda till att du förlorar betydligt mer pengar än vad produkten eller tekniken kostar för att genomföra, kanske det är vettigt att göra det.
