Bu Son Savunma Hattı İçin Bakılacak Şeyler
Katmanlı güvenlik, yaygın olarak kabul edilen bir bilgisayar ve ağ güvenliği ilkesidir (bkz. Derinlik Güvenliği). Temel dayanak, çok çeşitli saldırı ve tehditlere karşı korunmak için çoklu savunma katmanları almasıdır. Tek bir ürün ya da teknik her türlü tehdide karşı koruma sağlamaz, farklı tehditler için farklı ürünler gerektirir, ancak çok sayıda savunma hattına sahip olmak, bir ürünün dış savunmaları aşmış olabilecek şeyleri yakalamasına izin verir.
Farklı katman-antivirüs yazılımı, güvenlik duvarları, IDS (Intrusion Detection Systems) ve daha fazlası için kullanabileceğiniz birçok uygulama ve cihaz bulunmaktadır. Her birinin biraz farklı bir işlevi vardır ve farklı bir dizi saldırıdan farklı bir şekilde korunur.
Yeni teknolojilerden biri de IPS-Intrusion Prevention System'dir. Bir IPS, bir IDS'yi güvenlik duvarıyla birleştirmek gibidir. Tipik bir IDS sizi şüpheli trafiğe kaydeder veya sizi uyaracaktır, ancak yanıt size bırakılmıştır. IPS, ağ trafiğini karşılaştıran ilke ve kurallara sahiptir. Herhangi bir trafik politikaları ve kuralları ihlal ediyorsa, IPS sizi uyarmaktan ziyade yanıt verecek şekilde yapılandırılabilir. Tipik yanıtlar, tüm trafiği kaynak IP adresinden engellemek veya bilgisayar veya ağı proaktif olarak korumak için o bağlantı noktasındaki gelen trafiği engellemek olabilir.
Ağ tabanlı saldırı önleme sistemleri (NIPS) vardır ve ana bilgisayar tabanlı saldırı önleme sistemleri (HIPS) vardır. HIPS'i uygulamak için daha pahalı olsa da, özellikle büyük bir işletme ortamında, mümkün olan her yerde ana bilgisayar tabanlı güvenliği öneriyorum. Bireysel iş istasyonu seviyesinde izinsiz girişleri ve enfeksiyonları durdurmak, tehditleri engellemek ya da en azından tehdit etmek için çok daha etkili olabilir. Bunu göz önünde bulundurarak, ağınız için HIPS çözümlerinde aranacak şeylerin listesi:
- İmzalara Güvenmez: Bilinen tehditlerin imzaları veya benzersiz özellikleri, antivirüs ve izinsiz giriş tespiti (IDS) gibi yazılımların kullandığı başlıca araçlardan biridir. İmzaların çöküşü, reaktif olmalarıdır. Bir tehdit ortaya çıkana kadar bir imza geliştirilemez ve imza oluşturulmadan önce potansiyel olarak saldırıya uğrayabilirsiniz. HIPS çözümünüz, "normal" ağ etkinliğinin makinenizde nasıl göründüğü ile ilgili bir temel oluşturan ve olağandışı görünen herhangi bir trafiğe yanıt verecek olan anormal tabanlı algılama ile birlikte imza temelli algılama kullanmalıdır. Örneğin, bilgisayarınız hiç bir FTP kullanmıyorsa ve birdenbire bazı tehditler bilgisayarınızdan bir FTP bağlantısı açmaya çalışırsa, HIPS bunu anormal etkinlik olarak algılayacaktır.
- Yapılandırmanızla Çalışıyor : Bazı HIPS çözümleri, izleyebilecekleri ve koruyabilecekleri program veya işlemler açısından kısıtlayıcı olabilir. Kullandığınız ev tipi özel uygulamaların yanı sıra raftan ticari paketler alabilen bir HIPS bulmaya çalışmalısınız. Özel uygulamaları kullanmıyorsanız veya bunu ortamınız için önemli bir sorun olarak görmüyorsanız, en azından HIPS çözümünüzün çalıştırdığınız programları ve işlemleri koruduğundan emin olun.
- İlkeleri Oluşturmanıza İzin Verir: Çoğu HIPS çözümü, oldukça kapsamlı önceden tanımlanmış ilkeler kümesiyle birlikte gelir ve satıcılar genellikle yeni tehditler veya saldırılar için belirli bir yanıt sağlamak üzere güncelleştirmeler veya yeni ilkeler sunacaklardır. Ancak, tedarikçinin hesaba katmadığı veya yeni bir tehdidin patladığında benzersiz bir tehdide sahip olmanız durumunda kendi politikalarınızı oluşturma yeteneğiniz olması ve sisteminizi daha önce savunmak için bir ilkeye gereksiniminiz olması önemlidir. Satıcının bir güncelleme yayınlaması için zamanı vardır. Kullandığınız ürünün yalnızca politika oluşturma yeteneğiniz olmadığından emin olmanız gerekir, ancak bu politika oluşturma haftalarca süren eğitim veya uzman programlama becerileri olmadan anlamanız için yeterince basittir.
- Merkezi Raporlama ve Yönetim Sağlar : Tek tek sunucular veya iş istasyonları için ana bilgisayara dayalı korumadan bahsederken, HIPS ve NIPS çözümleri nispeten pahalıdır ve tipik bir ev kullanıcısı alanının dışındadır. Bu yüzden, HIPS hakkında konuşurken bile, muhtemelen bir ağ üzerinden yüzlerce masaüstü ve sunucu üzerinde HIPS dağıtımı açısından göz önünde bulundurmanız gerekir. Her bir masaüstü seviyesinde korumaya sahip olmak, yüzlerce bireysel sistemi yönetmek veya konsolide bir rapor oluşturmaya çalışmak iyi bir merkezi raporlama ve yönetme işlevi olmaksızın neredeyse imkansız olabilir. Bir ürün seçerken, tüm makinelere yeni ilkeler dağıtmanıza veya tüm makinelerden raporları tek bir konumdan oluşturmanıza olanak sağlamak için merkezi raporlama ve yönetim sağladığından emin olun.
Akılda tutmanız gereken birkaç şey daha var. İlk olarak, HIPS ve NIPS güvenlik için "gümüş mermi" değildir. Güvenlik duvarları ve antivirüs uygulamaları da dahil olmak üzere sağlam, katmanlı bir savunmaya çok iyi bir katkı sağlayabilirler, ancak mevcut teknolojileri değiştirmeyi denememelidirler.
İkincisi, bir HIPS çözümünün ilk uygulaması zahmetli olabilir. Anormalliğe dayalı algılamanın yapılandırılması, uygulamanın "normal" trafiğin ne olduğunu ve neyin olmadığını anlamasına yardımcı olmak için genellikle "el tutma" gerektiren iyi bir anlaşma gerektirir. Makineniz için "normal" trafiği tanımlayan temel çizgiyi oluşturmaya çalışırken bir takım yanlış pozitif veya eksik negatifler yaşayabilirsiniz.
Son olarak, şirketler genellikle şirket için neler yapabileceklerine göre alım yaparlar. Standart muhasebe uygulaması, bunun yatırım geri dönüşü veya YG'ye dayanarak ölçülmesini önerir. Muhasebeciler, yeni bir ürün ya da teknolojide bir miktar para yatırıp yatırım yapmadıklarını, ürün ya da teknolojinin kendisi için ne kadar ödeme yapılacağını anlamak ister.
Ne yazık ki, ağ ve bilgisayar güvenlik ürünleri genellikle bu kalıba uymuyor. Güvenlik daha çok ters ROI ile çalışır. Güvenlik ürünü veya teknolojisi tasarlandığı şekilde çalışıyorsa, ağ güvenli kalacaktır, ancak bir YG'yi ölçmek için "kâr" olmayacaktır. Gerçi tersine bakmalı ve ürün veya teknoloji yerinde değilse şirketin ne kadar kaybedeceğini düşünmelisiniz. Sunucuların yeniden inşa edilmesinde, verilerin kurtarılmasında, teknik personelin ataktan sonra temizlenmesi için ayrılan zamanın ve kaynakların ne kadar para harcanması gerekir? Ürüne sahip olmamanız, ürün ya da teknoloji maliyetlerinden çok daha fazla para kaybetme potansiyeli taşıyorsa, belki de bunu yapmak mantıklıdır.