Mga Bagay na Kinakikita Para Sa Huling Linya ng Pagtatanggol
Layered security ay isang malawak na tinanggap na prinsipyo ng computer at seguridad ng network (tingnan Sa Depth Security). Ang pangunahing saligan ay na kinakailangan ng maraming layers ng pagtatanggol upang maprotektahan laban sa iba't ibang uri ng pag-atake at pagbabanta. Hindi lamang isang produkto o pamamaraan ang hindi mapoprotektahan laban sa bawat posibleng pagbabanta, samakatuwid ay nangangailangan ng iba't ibang mga produkto para sa iba't ibang pagbabanta, ngunit ang pagkakaroon ng maramihang mga linya ng pagtatanggol ay inaasahan na payagan ang isang produkto na mahuli ang mga bagay na maaaring dumaan sa panlabas na panlaban.
Mayroong maraming mga application at mga aparato na maaari mong gamitin para sa iba't ibang mga layer-antivirus software, firewalls, IDS (Panghihimasok Detection Systems) at higit pa. Ang bawat isa ay may isang bahagyang iba't ibang mga function at pinoprotektahan mula sa isang iba't ibang mga hanay ng mga pag-atake sa ibang paraan.
Ang isa sa mga mas bagong teknolohiya ay ang IPS- Intrusion Prevention System. Ang isang IPS ay medyo tulad ng pagsasama ng isang ID na may firewall. Ang isang tipikal na ID ay mag-log o alertuhan ka sa kahina-hinalang trapiko, ngunit ang tugon ay naiwan sa iyo. Ang isang IPs ay may mga patakaran at patakaran na inihahambing nito ang trapiko sa network. Kung ang anumang trapiko ay lumalabag sa mga patakaran at mga panuntunan, maaaring i-configure ang IPS upang tumugon sa halip na lamang sa pagpaalala sa iyo. Ang mga karaniwang sagot ay maaaring hadlangan ang lahat ng trapiko mula sa pinagmulan ng IP address o upang hadlangan ang mga papasok na trapiko sa port na iyon upang mapangalagaan nang maaga ang computer o network.
May mga network-based intrusion prevention systems (NIPS) at may mga host-based intrusion prevention systems (HIPS). Bagaman maaari itong maging mas mahal upang ipatupad ang HIPS - lalo na sa isang malaking, kapaligiran ng enterprise, pinapayo ko ang host-based na seguridad hangga't maaari. Ang pagtigil sa mga pag-uusig at mga impeksiyon sa antas ng indibidwal na workstation ay maaaring maging mas epektibo sa pagharang, o hindi bababa sa naglalaman, pagbabanta. Sa pamamagitan ng na sa isip, narito ang isang listahan ng mga bagay upang maghanap sa isang solusyon HIPS para sa iyong network:
- Hindi umaasa sa mga pirma : Mga lagda - o natatanging mga katangian ng mga kilalang banta - ay isa sa mga pangunahing paraan na ginagamit ng software tulad ng pagtuklas ng antivirus at panghihimasok (IDS). Ang pagbagsak ng mga lagda ay ang mga ito ay reaktibo. Ang isang lagda ay hindi maaaring binuo hanggang pagkatapos ng isang pananakot at umiiral na maaari kang makakuha ng attacked bago ang lagda ay nilikha. Ang iyong solusyon sa HIPS ay dapat gumamit ng pagtukoy na nakabatay sa lagda kasama ang pagtukoy batay sa anomalya na nagtatatag ng isang baseline ng kung ano ang "normal" na aktibidad ng network na mukhang sa iyong makina at tutugon sa anumang trapiko na lilitaw na hindi pangkaraniwang. Halimbawa, kung ang iyong computer ay hindi gumagamit ng FTP at biglang sinubukan ng ilang pagbabanta na magbukas ng koneksyon sa FTP mula sa iyong computer, ang HIPS ay tiktikan ito bilang maanomalyang aktibidad.
- Gumagana Sa Iyong Pagsasaayos : Ang ilang mga solusyon sa HIPS ay maaaring mahigpit sa mga tuntunin ng kung ano ang mga programa o mga proseso na maaari nilang masubaybayan at protektahan. Dapat mong subukan na makahanap ng HIPS na may kakayahang pangasiwaan ang mga pakete ng komersyal sa istante pati na rin ang anumang nasa bahay na pasadyang mga application na maaaring ginagamit mo. Kung hindi ka gumagamit ng mga pasadyang application o hindi isaalang-alang ito ng isang malaking problema para sa iyong kapaligiran, hindi bababa sa matiyak na ang iyong HIPS solusyon ay pinoprotektahan ang mga programa at mga proseso na iyong pinapatakbo.
- Binibigyang-daan ka ng Mga Paraan ng Lumikha : Karamihan sa mga solusyon sa HIPS ay may isang medyo komprehensibong hanay ng mga paunang natukoy na mga patakaran at ang mga vendor ay karaniwang nag-aalok ng mga update o naglalabas ng mga bagong patakaran upang magbigay ng isang tukoy na tugon para sa mga bagong banta o pag-atake. Gayunpaman, mahalaga na mayroon kang kakayahan na lumikha ng iyong sariling mga patakaran sa kaganapan na mayroon kang isang natatanging banta na hindi ibinibilang ng vendor o kapag may isang bagong pagbabanta na sumasabog at kailangan mo ng patakaran upang ipagtanggol ang iyong system bago May oras ang nagbebenta upang i-release ang isang update. Kailangan mong tiyakin na ang produkto na iyong ginagamit ay hindi lamang ang kakayahang lumikha ka ng mga patakaran, ngunit ang paglikha ng patakaran ay sapat na simple para sa iyo na maunawaan na walang mga linggo ng pagsasanay o kasanayan sa mga ekspertong programming.
- Nagbibigay ng Central Reporting and Administration : Habang pinag-uusapan natin ang proteksyon batay sa host para sa mga indibidwal na server o workstation, ang mga solusyon ng HIPS at NIPS ay medyo mahal at sa labas ng lupain ng isang karaniwang gumagamit ng tahanan. Kaya, kahit na ang pakikipag-usap tungkol sa HIPS malamang na kailangan mong isaalang-alang ito mula sa pananaw ng pag-deploy ng HIPS sa posibleng daan-daang mga desktop at mga server sa isang network. Bagaman maganda ang pagkakaroon ng proteksyon sa indibidwal na antas ng desktop, nangangasiwa ng daan-daang mga indibidwal na sistema, o sinusubukang lumikha ng isang pinagsama-samang ulat ay maaaring halos imposible nang walang isang mahusay na pag-uulat sa gitnang at pangangasiwa ng pag-andar. Kapag pumipili ng isang produkto, tiyakin na ito ay may sentralisadong pag-uulat at pangangasiwa upang pahintulutan kang maglagay ng mga bagong patakaran sa lahat ng machine o upang lumikha ng mga ulat mula sa lahat ng mga machine mula sa isang lokasyon.
May ilang iba pang mga bagay na kailangan mong panatilihin sa isip. Una, ang HIPS at NIPS ay hindi isang "bala ng pilak" para sa seguridad. Maaari silang maging isang mahusay na karagdagan sa isang matatag, layered pagtatanggol kabilang ang mga firewalls at mga antivirus application sa iba pang mga bagay, ngunit hindi dapat subukan upang palitan ang mga umiiral na teknolohiya.
Pangalawa, ang unang pagpapatupad ng isang solusyon sa HIPS ay maaaring maingat. Ang pag-configure ng pagtukoy batay sa anomalya ay madalas na nangangailangan ng isang mahusay na "kamay-hawak" upang matulungan ang application na maunawaan kung ano ang "normal" na trapiko at kung ano ang hindi. Maaari kang makaranas ng maraming maling mga positibo o hindi nakuha negatibo habang nagtatrabaho ka upang maitatag ang baseline ng kung ano ang tumutukoy sa "normal" na trapiko para sa iyong makina.
Sa wakas, ang mga kumpanya ay karaniwang gumagawa ng mga pagbili batay sa kung ano ang maaari nilang gawin para sa kumpanya. Ipinakikita ng karaniwang accounting practice na ito ay sinusukat batay sa return on investment, o ROI. Gusto ng mga accountant na maunawaan kung mamuhunan sila ng isang kabuuan ng pera sa isang bagong produkto o teknolohiya, kung gaano katagal ang kailangan para sa produkto o teknolohiya na magbayad para sa sarili.
Sa kasamaang palad, ang mga produkto ng seguridad ng network at computer ay hindi pangkaraniwang umangkop sa amag na ito. Ang seguridad ay gumagana sa higit pa sa isang reverse-ROI. Kung gumagana ang produkto ng seguridad o teknolohiya bilang dinisenyo ang network ay mananatiling ligtas - ngunit walang magiging "kita" upang sukatin ang ROI mula. Dapat mong tingnan ang reverse bagaman at isaalang-alang kung magkano ang mawawala sa kumpanya kung ang produkto o teknolohiya ay wala sa lugar. Gaano karaming pera ang gugugulin sa mga muling pagtatayo ng mga server, pagbawi ng datos, oras at mga mapagkukunan ng paglalaan ng mga teknikal na tauhan upang linisin pagkatapos ng atake, atbp? Kung hindi nagkakaroon ng produkto maaaring maging sanhi ng pagkawala ng mas malaking pera kaysa sa mga gastos sa produkto o teknolohiya upang maipapatupad, baka marahil makatuwiran na gawin ito.