在這最後一道防線上尋找的東西
分層安全是計算機和網絡安全的廣泛接受原則(參見深度安全)。 基本前提是需要多層防禦來抵禦各種各樣的攻擊和威脅。 不僅一種產品或技術不能防範所有可能的威脅,因此需要不同的產品來應對不同的威脅,而是採用多種防禦措施,希望可以讓一種產品抓住可能已經滑過外部防禦的東西。
有許多應用程序和設備可用於不同的層面 - 防病毒軟件,防火牆,IDS(入侵檢測系統)等。 每個人都有一個稍微不同的功能,並以不同的方式防止一組不同的攻擊。
其中一項新技術是IPS入侵防禦系統。 IPS有點像將IDS與防火牆結合在一起。 一個典型的IDS會記錄或提醒您可疑的流量,但回复留給您。 IPS具有將網絡流量與之進行比較的策略和規則。 如果任何流量違反了策略和規則,IPS可以配置為響應而不是簡單地提醒您。 典型的響應可能是阻止來自源IP地址的所有流量,或者阻止該端口上的傳入流量來主動保護計算機或網絡。
有基於網絡的入侵防禦系統(NIPS)和基於主機的入侵防禦系統(HIPS)。 雖然實施HIPS可能會更加昂貴,尤其是在大型企業環境中,但我建議盡可能使用基於主機的安全性。 在單個工作站級停止入侵和感染可以更有效地阻止或至少抑制威脅。 考慮到這一點,以下列出了您的網絡HIPS解決方案中需要查找的內容:
- 不依賴簽名 :已知威脅的簽名 - 或唯一特徵 - 是防病毒和入侵檢測(IDS)等軟件使用的主要手段之一。簽名的失敗是它們是被動的。 直到存在威脅之後才能開發簽名,並且在創建簽名之前可能會受到攻擊。 您的HIPS解決方案應該使用基於特徵碼的檢測以及基於異常的檢測,從而為您的機器上“正常”網絡活動的外觀建立基線,並對任何看似不尋常的流量做出響應。 例如,如果您的計算機從不使用FTP,並且突然出現某種威脅嘗試從您的計算機打開FTP連接,則HIPS會將其檢測為異常活動。
- 適用於您的配置 :一些HIPS解決方案可能會限制他們能夠監控和保護的程序或流程。 您應該嘗試找到能夠處理現成的商業軟件包以及您可能使用的任何自製的定制應用程序的HIPS。 如果您不使用自定義應用程序或不認為這是您環境的重大問題,至少應確保您的HIPS解決方案保護您運行的程序和流程。
- 允許您創建策略 :大多數HIPS解決方案都帶有一套相當全面的預定義策略,供應商通常會提供更新或發布新策略,以針對新威脅或攻擊提供特定響應。 但是,如果您有一個獨特的威脅,即供應商無法解釋或者當新的威脅爆炸,並且您需要一個策略來保護您的系統時,有能力創建自己的策略,這一點非常重要。供應商有時間發布更新。 您需要確保您使用的產品不僅具備創建策略的能力,而且該策略的創建足夠簡單,無需數週的培訓或專業編程技能即可理解。
- 提供中央報告和管理 :雖然我們正在討論針對個人服務器或工作站的基於主機的保護,但HIPS和NIPS解決方案相對昂貴且不屬於典型的家庭用戶領域。 因此,即使在談論HIPS時,您可能需要從在網絡上可能有數百台台式機和服務器上部署HIPS的角度來考慮它。 如果沒有良好的中央報告和管理功能,在單個桌面級別上進行保護是很好的做法,管理數百個獨立系統或嘗試創建綜合報告幾乎是不可能的。 選擇產品時,請確保它具有集中的報告和管理功能,以便您可以將新策略部署到所有機器或從一個位置的所有機器創建報告。
還有其他一些事情需要記住。 首先,HIPS和NIPS不是安全的“銀彈”。 除了防火牆和防病毒應用之外,它們可以成為堅實的分層防禦的重要補充,但不應該試圖取代現有的技術。
其次,HIPS解決方案的初步實施可能非常艱鉅。 配置基於異常的檢測通常需要大量的“手持”來幫助應用程序了解什麼是“正常”流量,什麼不是。 在您建立為您的機器定義“正常”流量的基準時,您可能會遇到一些誤報或漏報。
最後,公司通常根據他們可以為公司做的事情進行採購。 標準會計實踐表明,這是根據投資回報率或投資回報率來衡量的。 會計師希望了解他們是否將一筆資金投入到新產品或新技術中,產品或技術需要多長時間才能為自己買單。
不幸的是,網絡和計算機安全產品通常不適合這種模具。 安全性在更多的反向ROI上運行。 如果安全產品或技術按設計工作,網絡將保持安全 - 但不會有“利潤”來衡量投資回報率。 你必須反過來看看,如果產品或技術不到位,公司可能會損失多少。 在重建服務器,恢復數據,專門技術人員在攻擊後清理的時間和資源等方面需要花費多少錢? 如果沒有產品可能會導致損失的金錢遠遠超過實施產品或技術成本,那麼或許這樣做是有道理的。