Cose da cercare nella prevenzione delle intrusioni basata su host

La Finale della Startup Competition 2019 - La competizione più grande d'Italia (Aprile 2025)

La Finale della Startup Competition 2019 - La competizione più grande d'Italia (Aprile 2025)
Anonim

La sicurezza a più livelli è un principio ampiamente accettato di sicurezza di computer e di rete (vedere Sicurezza approfondita). La premessa di base è che richiede più livelli di difesa per proteggersi dall'ampia varietà di attacchi e minacce. Non solo un prodotto o una tecnica non può proteggere da ogni possibile minaccia, quindi richiedono prodotti diversi per diverse minacce, ma avere più linee di difesa speriamo che un prodotto possa catturare cose che potrebbero essere scivolate oltre le difese esterne.

Esistono numerose applicazioni e dispositivi che è possibile utilizzare per i diversi livelli: software antivirus, firewall, IDS (Intrusion Detection Systems) e altro. Ognuno ha una funzione leggermente diversa e protegge da un diverso insieme di attacchi in un modo diverso.

Una delle tecnologie più recenti è IPS- Intrusion Prevention System. Un IPS è un po 'come combinare un IDS con un firewall. Un tipico ID si registrerà o ti avviserà di traffico sospetto, ma la risposta è lasciata a te. Un IPS ha politiche e regole a cui confronta il traffico di rete. Se un qualsiasi traffico viola le politiche e le regole, l'IPS può essere configurato per rispondere piuttosto che semplicemente avvisare l'utente. Le risposte tipiche potrebbero essere bloccare tutto il traffico dall'indirizzo IP di origine o bloccare il traffico in entrata su quella porta per proteggere proattivamente il computer o la rete.

Esistono sistemi di prevenzione delle intrusioni (NIPS) basati sulla rete e sistemi di prevenzione delle intrusioni basati su host (HIPS). Mentre può essere più costoso implementare HIPS, specialmente in un grande ambiente aziendale, consiglio la sicurezza basata su host laddove possibile. Fermare le intrusioni e le infezioni a livello di singola workstation può essere molto più efficace nel bloccare, o almeno nel contenere, le minacce. Con questo in mente, ecco un elenco di cose da cercare in una soluzione HIPS per la tua rete:

  • Non fa affidamento sulle firme: Le firme, o caratteristiche uniche delle minacce note, sono uno dei mezzi principali utilizzati da software come antivirus e rilevamento delle intrusioni (IDS). La caduta delle firme è che sono reattive. Una firma non può essere sviluppata fino a quando non esiste una minaccia e potresti potenzialmente essere attaccato prima che la firma venga creata. La soluzione HIPS deve utilizzare il rilevamento basato sulla firma insieme al rilevamento basato sull'anomalia che stabilisce una base di ciò che l'attività di rete "normale" è simile alla tua macchina e risponderà a qualsiasi traffico apparentemente insolito. Ad esempio, se il tuo computer non usa mai l'FTP e improvvisamente qualche minaccia tenta di aprire una connessione FTP dal tuo computer, l'HIPS lo rileva come un'attività anomala.
  • Funziona con la tua configurazione: Alcune soluzioni HIPS possono essere restrittive in termini di programmi o processi che sono in grado di monitorare e proteggere. Dovresti provare a trovare un HIPS che sia in grado di gestire i pacchetti commerciali dallo scaffale e qualsiasi applicazione personalizzata cresciuta in casa che potresti utilizzare. Se non utilizzi applicazioni personalizzate o non consideri questo un problema significativo per il tuo ambiente, assicurati almeno che la soluzione HIPS protegga i programmi e i processi fare correre.
  • Ti consente di creare criteri: La maggior parte delle soluzioni HIPS è dotata di una serie piuttosto ampia di criteri predefiniti e i fornitori di solito offrono aggiornamenti o rilasciano nuovi criteri per fornire una risposta specifica per nuove minacce o attacchi. Tuttavia, è importante che tu abbia la possibilità di creare le tue politiche nel caso in cui tu abbia una minaccia unica che il fornitore non tiene conto o quando una nuova minaccia sta esplodendo e hai bisogno di una politica per difendere il tuo sistema prima del il venditore ha il tempo di rilasciare un aggiornamento. È necessario assicurarsi che il prodotto che si utilizza non solo sia in grado di creare policy, ma che la creazione di policy è abbastanza semplice da comprendere senza settimane di formazione o competenze di programmazione esperta.
  • Fornisce report e amministrazione centrale: Mentre parliamo di protezione basata su host per singoli server o workstation, le soluzioni HIPS e NIPS sono relativamente costose e al di fuori del regno di un tipico utente domestico. Quindi, anche quando si parla di HIPS, è probabilmente necessario considerarlo dal punto di vista della distribuzione di HIPS su possibilmente centinaia di desktop e server su una rete. Mentre è bello avere protezione a livello di singolo desktop, amministrare centinaia di singoli sistemi o provare a creare un report consolidato può essere quasi impossibile senza una buona funzionalità di reporting e amministrazione centrale. Quando si seleziona un prodotto, assicurarsi di disporre di report e amministrazione centralizzati per consentire l'implementazione di nuove policy su tutte le macchine o per creare report da tutte le macchine da un'unica posizione.

Ci sono alcune altre cose che devi tenere a mente. In primo luogo, HIPS e NIPS non sono un "punto d'argento" per la sicurezza. Possono essere una grande aggiunta a una solida difesa a più livelli, inclusi firewall e applicazioni antivirus tra le altre cose, ma non dovrebbero cercare di sostituire le tecnologie esistenti.

In secondo luogo, l'implementazione iniziale di una soluzione HIPS può essere scrupolosa. La configurazione del rilevamento basato sull'anomalia spesso richiede una buona dose di "hand-holding" per aiutare l'applicazione a capire cosa sia il traffico "normale" e cosa no. Potresti riscontrare un numero di falsi positivi o negativi mancati mentre lavori per stabilire la linea di base di ciò che definisce il traffico "normale" per la tua macchina.

Infine, le aziende generalmente effettuano acquisti in base a ciò che possono fare per l'azienda. La pratica contabile standard suggerisce che questo venga misurato in base al ritorno sull'investimento o al ROI.I ragionieri vogliono capire se investono una somma di denaro in un nuovo prodotto o tecnologia, quanto tempo ci vorrà perché il prodotto o la tecnologia si ripaghi.

Sfortunatamente, i prodotti per la sicurezza di rete e computer generalmente non si adattano a questo stampo. La sicurezza funziona più su un ROI inverso. Se il prodotto o la tecnologia di sicurezza funziona come previsto, la rete rimarrà sicura, ma non ci sarà alcun "profitto" da cui misurare un ROI. Bisogna però guardare al contrario e considerare quanto l'azienda potrebbe perdere se il prodotto o la tecnologia non fossero stati installati. Quanti soldi dovrebbero essere spesi per ricostruire server, recuperare dati, tempo e risorse per dedicare personale tecnico a ripulire dopo un attacco, ecc.? Se non avere il prodotto potrebbe potenzialmente comportare una perdita di denaro significativamente maggiore rispetto al costo del prodotto o della tecnologia da implementare, allora forse ha senso farlo.

Software gratuito di rilevamento e prevenzione delle intrusioni

Software gratuito di rilevamento e prevenzione delle intrusioni

Il software gratuito di rilevamento delle intrusioni (IDS) e di prevenzione (IPS) consente di identificare e rispondere alle attività sospette sulla rete.

Introduzione ai sistemi di rilevamento delle intrusioni (IDS)

Introduzione ai sistemi di rilevamento delle intrusioni (IDS)

Questo articolo introduce i concetti di Intrusion Detection Systems (IDS), come funzionano, cosa monitorano e cosa significano i risultati.

5 cose da imparare su te stesso prima di cercare lavoro e altre 11 cose da sapere

5 cose da imparare su te stesso prima di cercare lavoro e altre 11 cose da sapere

Stiamo portando la nostra famosa newsletter Best of the Web dalle nostre caselle di posta e sul Web, solo per te.

Scelta Del Redattore