สิ่งที่ต้องค้นหาในบรรทัดสุดท้ายของการป้องกัน
การรักษาความปลอดภัยแบบเลเยอร์เป็นหลักการที่ยอมรับกันทั่วไปเกี่ยวกับความปลอดภัยของคอมพิวเตอร์และเครือข่าย (ดูในความปลอดภัยระดับสูง) หลักฐานเบื้องต้นคือต้องใช้การป้องกันหลายชั้นเพื่อป้องกันการโจมตีและภัยคุกคามที่หลากหลาย ไม่เพียงแค่ผลิตภัณฑ์หรือเทคนิคเท่านั้นที่สามารถป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ดังนั้นจึงต้องใช้ผลิตภัณฑ์ที่แตกต่างกันสำหรับการคุกคามที่แตกต่างกัน แต่การป้องกันหลายสายจะหวังให้ผลิตภัณฑ์หนึ่ง ๆ สามารถจับสิ่งที่อาจลื่นผ่านการป้องกันด้านนอก
แอพพลิเคชันและอุปกรณ์ที่คุณสามารถใช้สำหรับเลเยอร์ต่างๆได้มีมากมายเช่นซอฟต์แวร์ป้องกันไวรัสไฟร์วอลล์ IDS (Intrusion Detection Systems) และอื่น ๆ อีกมากมาย แต่ละคนมีหน้าที่แตกต่างออกไปเล็กน้อยและปกป้องจากการโจมตีที่แตกต่างกันในลักษณะอื่น
หนึ่งในเทคโนโลยีใหม่ ๆ คือ IPS-Intrusion Prevention System IPS คล้ายกับการรวม IDS เข้ากับไฟร์วอลล์ IDS ทั่วไปจะล็อกหรือแจ้งเตือนคุณให้เข้าสู่การเข้าชมที่น่าสงสัย แต่คำตอบจะถูกทิ้งไว้ให้คุณ IPS มีนโยบายและกฎที่เปรียบเทียบการเข้าชมเครือข่ายกับ หากการเข้าชมใด ๆ ละเมิดนโยบายและกฎระเบียบ IPS สามารถกำหนดค่าให้ตอบสนองได้มากกว่าเพียงการแจ้งเตือนคุณ การตอบสนองทั่วไปอาจเป็นการบล็อกการรับส่งข้อมูลทั้งหมดจากที่อยู่ IP ต้นทางหรือบล็อกการรับส่งข้อมูลขาเข้าบนพอร์ตดังกล่าวเพื่อป้องกันคอมพิวเตอร์หรือเครือข่ายในเชิงรุก
มีระบบการป้องกันการบุกรุกบนเครือข่าย (NIPS) และมีระบบป้องกันการบุกรุกจากโฮสต์ (HIPS) แม้ว่าจะมีราคาแพงกว่าที่จะใช้ HIPS ได้โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมแบบองค์กรขนาดใหญ่ แต่ผมขอแนะนำให้ใช้ระบบรักษาความปลอดภัยบนโฮสต์ที่เป็นไปได้ การหยุดการบุกรุกและการติดเชื้อในระดับเวิร์กสเต็ปอาจมีประสิทธิภาพมากขึ้นในการปิดกั้นหรืออย่างน้อยที่มีภัยคุกคาม ด้วยเหตุนี้จึงเป็นรายการของสิ่งที่คุณควรค้นหาในโซลูชัน HIPS สำหรับเครือข่ายของคุณ:
- ไม่เกี่ยวเนื่องกับลายเซ็น : ลักษณะเฉพาะของภัยคุกคามที่เป็นลายเซ็นหรือลักษณะเฉพาะเป็นส่วนสำคัญที่ใช้โดยซอฟต์แวร์เช่นโปรแกรมป้องกันไวรัสและการตรวจจับการบุกรุก (IDS) การล่มสลายของลายเซ็นคือการโต้ตอบ ลายเซ็นไม่สามารถพัฒนาได้จนกว่าจะมีภัยคุกคามอยู่และคุณอาจถูกโจมตีก่อนสร้างลายเซ็น โซลูชัน HIPS ควรใช้การตรวจจับตามลายเซ็นพร้อมกับการตรวจจับที่ผิดปกติซึ่งจะเป็นการสร้างพื้นฐานของกิจกรรมเครือข่าย "ปกติ" ในเครื่องของคุณและจะตอบสนองต่อการเข้าชมที่ผิดปกติ ตัวอย่างเช่นหากคอมพิวเตอร์ของคุณไม่เคยใช้ FTP และบางครั้งภัยคุกคามบางอย่างก็พยายามเปิดการเชื่อมต่อ FTP จากคอมพิวเตอร์ของคุณ HIPS จะตรวจพบว่านี่เป็นกิจกรรมที่ผิดปกติ
- ทำงานร่วมกับการกำหนดค่าของคุณ : โซลูชัน HIPS บางอย่างอาจมีข้อ จำกัด ในแง่ของสิ่งที่โปรแกรมหรือกระบวนการที่พวกเขาสามารถตรวจสอบและป้องกันได้ คุณควรพยายามหา HIPS ที่สามารถจัดการแพ็คเกจเชิงพาณิชย์ได้จากชั้นวางและโปรแกรมประยุกต์ที่กำหนดเองที่คุณใช้อยู่ ถ้าคุณไม่ได้ใช้แอ็พพลิเคชันแบบกำหนดเองหรือไม่ถือว่าเป็นปัญหาสำคัญสำหรับสภาพแวดล้อมของคุณอย่างน้อยควรตรวจสอบให้แน่ใจว่าโซลูชัน HIPS ของคุณปกป้องโปรแกรมและกระบวนการที่คุณเรียกใช้
- ช่วยให้คุณสามารถสร้างนโยบาย : โซลูชัน HIPS ส่วนใหญ่มาพร้อมกับนโยบายที่กำหนดไว้ล่วงหน้าและผู้จัดจำหน่ายจะครอบคลุมการอัปเดตหรือเผยแพร่นโยบายใหม่ ๆ เพื่อตอบสนองต่อภัยคุกคามหรือการโจมตีใหม่ ๆ อย่างไรก็ตามคุณจำเป็นต้องมีนโยบายในการสร้างนโยบายของตนเองในกรณีที่คุณมีภัยคุกคามที่ไม่ซ้ำกันซึ่งผู้ขายไม่ได้เป็นผู้รับผิดชอบหรือเมื่อมีการคุกคามใหม่และคุณต้องมีนโยบายปกป้องระบบของคุณก่อน ผู้ขายมีเวลาที่จะปล่อยการปรับปรุง คุณจำเป็นต้องตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ที่คุณใช้ไม่เพียง แต่มีความสามารถในการสร้างนโยบายเท่านั้น แต่การสร้างนโยบายนั้นทำได้ง่ายพอที่จะทำให้คุณเข้าใจได้โดยไม่ต้องฝึกฝนเป็นสัปดาห์หรือมีทักษะในการเขียนโปรแกรมผู้เชี่ยวชาญ
- ให้การรายงานและการจัดการระดับกลาง : ในขณะที่เรากำลังพูดถึงการป้องกันด้วยโฮสต์สำหรับแต่ละเซิร์ฟเวอร์หรือเวิร์คสเตชั่นโซลูชั่น HIPS และ NIPS มีราคาแพงและอยู่นอกขอบเขตของผู้ใช้ตามบ้านโดยทั่วไป ดังนั้นแม้กระทั่งเมื่อพูดถึง HIPS คุณอาจต้องพิจารณาจากมุมมองของการปรับใช้ HIPS บนเดสก์ท็อปและเซิร์ฟเวอร์หลายร้อยเครื่องในเครือข่าย ในขณะที่การป้องกันในระดับเดสก์ท็อปเป็นเรื่องที่ดีการจัดการหลายร้อยระบบหรือพยายามสร้างรายงานรวมอาจเป็นไปไม่ได้เลยหากไม่มีการรายงานและการบริหารงานระดับกลางที่ดี เมื่อเลือกผลิตภัณฑ์โปรดตรวจสอบว่ามีการรายงานและการจัดการแบบรวมศูนย์เพื่อให้คุณสามารถปรับใช้นโยบายใหม่ ๆ กับเครื่องทั้งหมดหรือสร้างรายงานจากเครื่องทั้งหมดจากที่เดียวได้
มีบางสิ่งอื่น ๆ ที่คุณต้องจำไว้ ประการแรก HIPS และ NIPS ไม่ใช่ "กระสุนเงิน" เพื่อความปลอดภัย สามารถเป็นส่วนเสริมที่ดีในการป้องกันแบบทึบชั้นรวมถึงไฟร์วอลล์และโปรแกรมป้องกันไวรัสอื่น ๆ แต่ไม่ควรพยายามแทนที่เทคโนโลยีที่มีอยู่
ประการที่สองการใช้งานโซลูชัน HIPS ครั้งแรกสามารถทำได้อย่างเพียร การกำหนดค่าการตรวจจับโดยใช้ความผิดปกติมักต้องใช้ "มือถือ" เพื่อช่วยให้แอปพลิเคชันเข้าใจว่าการเข้าชม "ปกติ" เป็นอย่างไรและสิ่งใดที่ไม่ใช่ คุณอาจได้รับผลบวกปลอมจำนวนมากหรือพลาดไปในเชิงลบขณะที่คุณทำงานเพื่อสร้างพื้นฐานของสิ่งที่กำหนดอัตราการเข้าชม "ปกติ" สำหรับเครื่องของคุณ
สุดท้าย บริษัท มักจะซื้อตามสิ่งที่พวกเขาสามารถทำได้สำหรับ บริษัท การปฏิบัติตามมาตรฐานบัญชีชี้ให้เห็นว่านี่วัดได้จากผลตอบแทนจากการลงทุนหรือ ROI นักบัญชีต้องการทำความเข้าใจว่าพวกเขาลงทุนเป็นจำนวนเงินในผลิตภัณฑ์หรือเทคโนโลยีใหม่ ๆ ใช้เวลานานเท่าใดที่ผลิตภัณฑ์หรือเทคโนโลยีต้องจ่ายค่าตัวเอง
น่าเสียดายที่เครือข่ายและผลิตภัณฑ์รักษาความปลอดภัยของคอมพิวเตอร์ไม่เหมาะสมกับแม่พิมพ์นี้ การรักษาความปลอดภัยทำงานได้มากกว่า ROI แบบย้อนกลับ หากผลิตภัณฑ์รักษาความปลอดภัยหรือเทคโนโลยีทำงานตามที่ออกแบบไว้เครือข่ายจะยังคงปลอดภัย แต่จะไม่มี "กำไร" เพื่อวัด ROI จาก คุณต้องมองย้อนกลับไปแม้ว่าและพิจารณาว่า บริษัท อาจสูญเสียได้หากผลิตภัณฑ์หรือเทคโนโลยีไม่อยู่ในสถานที่ ต้องใช้เงินเท่าไหร่ในการสร้างเซิร์ฟเวอร์การกู้คืนข้อมูลเวลาและทรัพยากรของการทุ่มเทบุคลากรด้านเทคนิคเพื่อทำความสะอาดหลังจากการโจมตี ฯลฯ ? หากไม่มีผลิตภัณฑ์อาจทำให้สูญเสียเงินมากไปกว่าต้นทุนผลิตภัณฑ์หรือเทคโนโลยีเพื่อใช้งานได้