Cousas a buscar nesta última liña de defensa
A seguridade en capas é un principio amplamente aceptado de seguridade informática e de rede (consulte Seguridade en profundidade). A premisa básica é que leva varias capas de defensa para protexerse contra a gran variedade de ataques e ameazas. Non só un produto ou técnica non pode protexerse contra todas as ameazas posibles, polo tanto, esixe diferentes produtos para diferentes ameazas, pero con varias liñas de defensa esperamos permitir que un produto capture as cousas que puideron deslizarse nas defensas exteriores.
Hai moitas aplicacións e dispositivos que pode usar para as diferentes capas: software antivirus, firewalls, IDS (sistemas de detección de intrusos) e moito máis. Cada un ten unha función un pouco diferente e protexe dun diferente conxunto de ataques de forma diferente.
Unha das tecnoloxías máis novas é o IPS-Sistema de prevención de intrusos. Un IPS é semellante á combinación dun IDS cun firewall. Un IDS típico rexistrará ou avisarlle de tráfico sospeitoso, pero a resposta queda para ti. Un IPS ten políticas e regras que compara o tráfico da rede. Se algún tráfico infrinxe as políticas e as regras, o IPS pode configurarse para responder en lugar de simplemente avisalo. As respostas típicas poden ser bloquear todo o tráfico desde a dirección IP orixinal ou bloquear o tráfico entrante dese porto para protexer de forma proactiva a computadora ou a rede.
Existen sistemas de prevención de intrusos baseados en rede (NIPS) e hai sistemas de prevención de intrusos baseados no host (HIPS). Aínda que poida ser máis caro implementar HIPS -especialmente nun gran entorno empresarial, recoméndovos a seguridade baseada no servidor sempre que sexa posible. Detener intrusións e infeccións no nivel de estación de traballo individual pode ser moito máis efectivo ao bloquear ou, polo menos, contén ameazas. Con isto en mente, aquí tes unha lista de cousas para buscar nunha solución HIPS para a túa rede:
- Non confía nas sinaturas : As sinaturas ou as características únicas das ameazas coñecidas son un dos medios primarios utilizados polo software como antivirus e detección de intrusos (IDS). A caída das sinaturas é que son reactivas. Non se pode desenvolver unha sinatura ata que exista unha ameaza e poida atacar antes de crear a sinatura. A súa solución HIPS debería usar a detección baseada en sinaturas xunto coa detección baseada en anomalías que establece unha liña base da actividade da rede "normal" que se ve na máquina e que responderá a calquera tráfico que pareza inusual. Por exemplo, se o computador nunca usa FTP e de súpeto algunha ameaza intenta abrir unha conexión FTP desde o computador, os HIPS detectan isto como actividade anómala.
- Funciona coa túa configuración : algunhas solucións HIPS poden ser restrictivas en canto a programas ou procesos que poden controlar e protexer. Debería tratar de atopar un HIPS que sexa capaz de manipular os paquetes comerciais fóra da plataforma, así como calquera aplicación personalizada caseira que estea a usar. Se non usa aplicacións personalizadas ou non considera un problema significativo para o seu contorno, polo menos asegúrese de que a súa solución HIPS protexa os programas e procesos que executa.
- Permite crear políticas : a maioría das solucións HIPS veñen cun conxunto bastante amplo de políticas predefinidas e os provedores adoitan ofrecer actualizacións ou liberar novas políticas para proporcionar unha resposta específica para novas ameazas ou ataques. Non obstante, é importante que teña a capacidade de crear as túas propias políticas no caso de que teña unha ameaza única para o que o vendedor non conta ou cando unha nova ameaza estoupou e necesitas unha política para defender o teu sistema antes do O vendedor ten tempo para lanzar unha actualización. Debe asegurarse de que o produto que usa non só teña a capacidade de crear políticas, pero esa creación de políticas é moi sinxela para que o poidas entender sen semanas de adestramento ou habilidades de programación de expertos.
- Ofrece informes e administración centrais : Mentres falamos de protección baseada no servidor para servidores ou estacións de traballo individuais, as solucións HIPS e NIPS son relativamente caras e fóra do reino dun usuario doméstico típico. Entón, mesmo cando se fala de HIPS, é probable que o considere desde o punto de vista da implantación de HIPS sobre posiblemente centos de escritorios e servidores a través dunha rede. Aínda que é bo ter protección no nivel de escritorio individual, administrar centos de sistemas individuais ou tentar crear un informe consolidado pode ser case imposible sen unha boa función de informe e administración central. Ao seleccionar un produto, asegúrese de que teña informes e administración centralizados para que poidas implementar novas políticas en todas as máquinas ou para crear informes de todas as máquinas desde un lugar.
Hai algunhas outras cousas que debes ter en conta. En primeiro lugar, HIPS e NIPS non son unha "bala de prata" para a seguridade. Poden ser unha gran adición a unha defensa sólida e en capas que inclúe firewalls e aplicacións antivirus entre outras cousas, pero non debería tratar de substituír as tecnoloxías existentes.
En segundo lugar, a implementación inicial dunha solución HIPS pode ser meticulosa. Configurar a detección baseada en anomalías adoita esixir unha boa parte da "explotación manual" para axudar a que a aplicación comprenda o tráfico "normal" e o que non. Pode experimentar unha serie de falsos positivos ou negativos perdidos mentres traballa para establecer a liña base do que define o tráfico "normal" para a máquina.
Finalmente, as empresas fan compras en función do que poden facer pola empresa. A práctica contable estándar suxire que se medise en función do rendemento do investimento ou do ROI. Os contadores queren entender se invisten unha cantidade de diñeiro nun novo produto ou tecnoloxía, canto tempo levará o produto ou a tecnoloxía a pagar por si mesma.
Desafortunadamente, os produtos de seguridade en rede e informática xeralmente non se encaixan neste molde. A seguridade funciona en máis dun ROI inverso. Se o produto ou tecnoloxía de seguridade funciona como deseñado, a rede permanecerá segura, pero non haberá ningún beneficio para medir un ROI. Non obstante, cómpre considerar o inverso e considerar canto podería perder a compañía se o produto ou a tecnoloxía non estaban en vigor. Canto diñeiro tería que gastarse en reconstruír servidores, recuperar datos, o tempo e recursos de dedicar persoal técnico para limpar despois dun ataque, etc.? Se non ten o produto pode producir perdendo moito máis diñeiro do que o produto ou os custos tecnolóxicos a implementar, entón talvez teña sentido facelo.