Những điều cần tìm trong dòng cuối cùng của quốc phòng
Lớp bảo mật là một nguyên tắc được chấp nhận rộng rãi về bảo mật máy tính và mạng (xem trong Bảo mật Độ sâu). Các tiền đề cơ bản là phải mất nhiều lớp bảo vệ để bảo vệ chống lại nhiều loại tấn công và các mối đe dọa. Không chỉ một sản phẩm hay kỹ thuật không thể bảo vệ khỏi mọi mối đe dọa có thể xảy ra, do đó yêu cầu các sản phẩm khác nhau cho các mối đe dọa khác nhau, nhưng có nhiều tuyến phòng thủ hy vọng sẽ cho phép một sản phẩm bắt được những thứ có thể trượt qua các hệ thống phòng thủ bên ngoài.
Có rất nhiều ứng dụng và thiết bị bạn có thể sử dụng cho các phần mềm chống vi-rút lớp khác nhau, tường lửa, IDS (Hệ thống phát hiện xâm nhập) và hơn thế nữa. Mỗi chức năng có một chút khác biệt và bảo vệ khỏi một bộ tấn công khác nhau theo một cách khác.
Một trong những công nghệ mới hơn là IPS- Intrusion Prevention System. Một IPS có phần giống như kết hợp một IDS với tường lửa. Một IDS điển hình sẽ đăng nhập hoặc thông báo cho bạn về lưu lượng truy cập đáng ngờ, nhưng phản hồi lại cho bạn. Một IPS có các chính sách và quy tắc mà nó so sánh lưu lượng mạng với. Nếu bất kỳ lưu lượng truy cập nào vi phạm chính sách và quy tắc, IPS có thể được định cấu hình để phản hồi thay vì chỉ cảnh báo bạn. Các phản hồi điển hình có thể là chặn tất cả lưu lượng truy cập từ địa chỉ IP nguồn hoặc chặn lưu lượng truy cập đến trên cổng đó để chủ động bảo vệ máy tính hoặc mạng.
Có các hệ thống ngăn chặn xâm nhập dựa trên mạng (NIPS) và có các hệ thống ngăn chặn xâm nhập dựa trên máy chủ (HIPS). Mặc dù có thể tốn kém hơn để triển khai HIPS - đặc biệt là trong môi trường doanh nghiệp lớn, tôi khuyên bạn nên bảo mật dựa trên máy chủ ở bất cứ nơi nào có thể. Ngừng xâm nhập và nhiễm trùng ở cấp độ trạm làm việc cá nhân có thể có hiệu quả hơn nhiều trong việc ngăn chặn, hoặc ít nhất có chứa, các mối đe dọa. Với ý nghĩ đó, đây là danh sách những thứ cần tìm trong giải pháp HIPS cho mạng của bạn:
- Không dựa vào chữ ký : Chữ ký hoặc đặc điểm độc nhất của các mối đe dọa đã biết - là một trong những phương tiện chính được sử dụng bởi phần mềm như chống vi-rút và phát hiện xâm nhập (IDS). Sự sụp đổ của chữ ký là chúng phản ứng. Một chữ ký không thể được phát triển cho đến sau khi một mối đe dọa tồn tại và bạn có khả năng có thể bị tấn công trước khi chữ ký được tạo ra. Giải pháp HIPS của bạn nên sử dụng phát hiện dựa trên chữ ký cùng với phát hiện bất thường, thiết lập đường cơ sở của hoạt động mạng "bình thường" trông giống như trên máy của bạn và sẽ phản hồi bất kỳ lưu lượng truy cập nào xuất hiện bất thường. Ví dụ, nếu máy tính của bạn không bao giờ sử dụng FTP và đột nhiên một số mối đe dọa cố gắng để mở một kết nối FTP từ máy tính của bạn, HIPS sẽ phát hiện điều này như là hoạt động bất thường.
- Làm việc với cấu hình của bạn : Một số giải pháp HIPS có thể bị hạn chế về các chương trình hoặc quy trình mà chúng có thể giám sát và bảo vệ. Bạn nên cố gắng tìm một HIPS có khả năng xử lý các gói thương mại ngoài kệ cũng như bất kỳ ứng dụng tùy chỉnh được phát triển trong nhà nào mà bạn có thể đang sử dụng. Nếu bạn không sử dụng các ứng dụng tùy chỉnh hoặc không coi đây là vấn đề quan trọng đối với môi trường của bạn, ít nhất hãy đảm bảo rằng giải pháp HIPS của bạn bảo vệ các chương trình và quy trình bạn chạy.
- Cho phép bạn tạo các chính sách : Hầu hết các giải pháp HIPS đi kèm với một bộ các chính sách và nhà cung cấp được xác định trước thường sẽ cung cấp các bản cập nhật hoặc phát hành các chính sách mới để cung cấp phản hồi cụ thể cho các mối đe dọa hoặc tấn công mới. Tuy nhiên, điều quan trọng là bạn có khả năng tạo chính sách riêng của mình trong trường hợp bạn có một mối đe dọa duy nhất mà nhà cung cấp không tính đến hoặc khi một mối đe dọa mới bùng nổ và bạn cần một chính sách để bảo vệ hệ thống của mình trước nhà cung cấp có thời gian để phát hành bản cập nhật. Bạn cần đảm bảo rằng sản phẩm bạn sử dụng không chỉ có khả năng tạo chính sách, mà việc tạo chính sách đó đủ đơn giản để bạn hiểu mà không cần các kỹ năng lập trình hoặc kỹ năng lập trình chuyên môn hàng tuần.
- Cung cấp báo cáo và quản trị trung tâm : Trong khi chúng ta đang nói về bảo vệ dựa trên máy chủ cho máy chủ cá nhân hoặc máy trạm, các giải pháp HIPS và NIPS tương đối đắt tiền và ngoài lãnh vực của một người dùng gia đình điển hình. Vì vậy, ngay cả khi nói về HIPS bạn có thể cần phải xem xét nó từ quan điểm triển khai HIPS trên có thể hàng trăm máy tính để bàn và máy chủ trên mạng. Mặc dù rất tốt khi có bảo vệ ở cấp máy tính cá nhân, quản trị hàng trăm hệ thống riêng lẻ hoặc cố tạo báo cáo tổng hợp có thể gần như không thể thực hiện được mà không có chức năng báo cáo và quản trị trung tâm tốt. Khi chọn một sản phẩm, hãy đảm bảo rằng nó có báo cáo và quản trị tập trung để cho phép bạn triển khai các chính sách mới cho tất cả các máy hoặc tạo báo cáo từ tất cả các máy từ một vị trí.
Có một vài điều khác bạn cần lưu ý. Đầu tiên, HIPS và NIPS không phải là "viên đạn bạc" để bảo mật. Chúng có thể là một bổ sung tuyệt vời cho một lớp bảo vệ vững chắc, bao gồm tường lửa và các ứng dụng chống vi-rút trong số những thứ khác, nhưng không nên cố gắng thay thế các công nghệ hiện có.
Thứ hai, việc thực hiện ban đầu của một giải pháp HIPS có thể được siêng năng. Việc định cấu hình phát hiện dựa trên bất thường thường đòi hỏi một lượng lớn "nắm tay" để giúp ứng dụng hiểu lưu lượng truy cập "bình thường" và những gì không. Bạn có thể gặp phải một số sai tích cực hoặc bị bỏ lỡ âm trong khi bạn làm việc để thiết lập đường cơ sở của những gì xác định lưu lượng truy cập "bình thường" cho máy của bạn.
Cuối cùng, các công ty thường mua hàng dựa trên những gì họ có thể làm cho công ty. Thực hành kế toán chuẩn cho thấy rằng điều này được đo lường dựa trên lợi tức đầu tư hoặc ROI. Kế toán muốn hiểu nếu họ đầu tư một khoản tiền trong một sản phẩm hoặc công nghệ mới, phải mất bao lâu để sản phẩm hoặc công nghệ tự trả tiền.
Thật không may, các sản phẩm bảo mật mạng và máy tính thường không phù hợp với khuôn mẫu này. Bảo mật hoạt động trên nhiều ROI đảo ngược hơn. Nếu sản phẩm bảo mật hoặc công nghệ hoạt động như được thiết kế, mạng sẽ vẫn an toàn - nhưng sẽ không có "lợi nhuận" để đo lường ROI. Bạn phải nhìn ngược lại và xem xét công ty có thể mất bao nhiêu nếu sản phẩm hoặc công nghệ không có sẵn. Bao nhiêu tiền sẽ phải được chi cho xây dựng lại máy chủ, phục hồi dữ liệu, thời gian và nguồn lực cống hiến nhân viên kỹ thuật để làm sạch sau khi một cuộc tấn công, vv? Nếu không có sản phẩm có khả năng dẫn đến mất nhiều tiền hơn đáng kể so với chi phí sản phẩm hoặc công nghệ để thực hiện, thì có lẽ nó có ý nghĩa để làm như vậy.