Die mehrstufige Sicherheit ist ein weithin anerkanntes Prinzip der Computer- und Netzwerksicherheit (siehe In-Depth-Sicherheit). Die Grundvoraussetzung ist, dass es mehrere Schutzschichten erfordert, um sich vor den vielfältigen Angriffen und Bedrohungen zu schützen. Ein Produkt oder eine Technik kann nicht nur nicht vor jeder möglichen Bedrohung schützen, sondern erfordert daher unterschiedliche Produkte für unterschiedliche Bedrohungen. Durch mehrere Verteidigungslinien kann ein Produkt möglicherweise Dinge fangen, die möglicherweise an den äußeren Abwehrmechanismen vorbeigegangen sind.
Es gibt eine Vielzahl von Anwendungen und Geräten, die Sie für die verschiedenen Schichten verwenden können - Antivirensoftware, Firewalls, IDS (Intrusion Detection Systems) und mehr. Jeder hat eine etwas andere Funktion und schützt auf andere Weise vor verschiedenen Angriffen.
Eine der neueren Technologien ist das IPS-Intrusion Prevention System. Ein IPS ist so etwas wie die Kombination eines IDS mit einer Firewall. Ein typisches IDS protokolliert oder warnt Sie bei verdächtigem Datenverkehr, die Antwort bleibt jedoch Ihnen überlassen. Ein IPS verfügt über Richtlinien und Regeln, mit denen der Netzwerkverkehr verglichen wird. Wenn Datenverkehr gegen die Richtlinien und Regeln verstößt, kann das IPS so konfiguriert werden, dass es reagiert, anstatt Sie lediglich zu warnen. Typische Antworten könnten sein, den gesamten Verkehr von der Quell-IP-Adresse zu blockieren oder den an diesem Port eingehenden Verkehr zu blockieren, um den Computer oder das Netzwerk proaktiv zu schützen.
Es gibt netzbasierte Intrusion Prevention-Systeme (NIPS) und es gibt Host-basierte Intrusion Prevention-Systeme (HIPS). Während die Implementierung von HIPS - insbesondere in einer großen Unternehmensumgebung - teurer sein kann, empfehle ich die hostbasierte Sicherheit, wo immer dies möglich ist. Das Stoppen von Eindringlingen und Infektionen auf der Ebene einzelner Workstations kann dazu beitragen, Bedrohungen zu blockieren oder zumindest einzudämmen. In diesem Zusammenhang finden Sie eine Liste mit Dingen, auf die Sie bei einer HIPS-Lösung für Ihr Netzwerk achten sollten:
- Verlässt sich nicht auf Unterschriften: Signaturen oder eindeutige Merkmale bekannter Bedrohungen sind eines der wichtigsten Mittel, die von Software wie Antivirus und Intrusion Detection (IDS) verwendet werden. Der Untergang von Signaturen ist, dass sie reaktiv sind. Eine Signatur kann erst entwickelt werden, nachdem eine Bedrohung existiert, und Sie könnten möglicherweise angegriffen werden, bevor die Signatur erstellt wird. Ihre HIPS-Lösung sollte eine signaturbasierte Erkennung zusammen mit einer auf Anomalien basierenden Erkennung verwenden, die eine Grundlage dafür bildet, wie "normale" Netzwerkaktivitäten auf Ihrem Computer aussehen und auf ungewöhnlich auftretenden Datenverkehr reagieren. Wenn Ihr Computer beispielsweise niemals FTP verwendet und plötzlich eine Bedrohung versucht, eine FTP-Verbindung von Ihrem Computer aus zu öffnen, wird dies von den HIPS als anomale Aktivität erkannt.
- Funktioniert mit Ihrer Konfiguration: Einige HIPS-Lösungen können restriktiv sein, welche Programme oder Prozesse sie überwachen und schützen können. Sie sollten versuchen, ein HIPS zu finden, das handelsübliche Pakete sowie handelsübliche benutzerdefinierte Anwendungen, die Sie verwenden, handhaben kann. Wenn Sie keine benutzerdefinierten Anwendungen verwenden oder dies nicht als bedeutendes Problem für Ihre Umgebung betrachten, müssen Sie zumindest sicherstellen, dass Ihre HIPS-Lösung die Programme und Prozesse, die Sie verwenden, schützt tun Lauf.
- Ermöglicht das Erstellen von Richtlinien: Die meisten HIPS-Lösungen verfügen über einen ziemlich umfangreichen Satz vordefinierter Richtlinien. Anbieter bieten in der Regel Aktualisierungen an oder geben neue Richtlinien heraus, um eine spezifische Reaktion auf neue Bedrohungen oder Angriffe bereitzustellen. Es ist jedoch wichtig, dass Sie in der Lage sind, eigene Richtlinien zu erstellen, falls Sie eine eindeutige Bedrohung haben, die der Anbieter nicht berücksichtigt, oder wenn eine neue Bedrohung explodiert und Sie eine Richtlinie benötigen, um Ihr System vor dem System zu schützen Hersteller hat Zeit, ein Update zu veröffentlichen. Sie müssen sicherstellen, dass das von Ihnen verwendete Produkt nicht nur in der Lage ist, Richtlinien zu erstellen, sondern dass die Richtlinienerstellung einfach genug ist, um Sie ohne wochenlange Schulung oder Expertenwissen zu verstehen.
- Bietet zentrale Berichterstellung und Verwaltung: Während es sich um einen Host-basierten Schutz für einzelne Server oder Workstations handelt, sind HIPS- und NIPS-Lösungen relativ teuer und außerhalb des Bereichs eines typischen Heimanwenders. Selbst wenn Sie über HIPS sprechen, müssen Sie dies wahrscheinlich vom Standpunkt der Bereitstellung von HIPS auf möglicherweise Hunderten von Desktops und Servern in einem Netzwerk in Betracht ziehen. Es ist zwar schön, auf der individuellen Desktop-Ebene Schutz zu haben, aber die Verwaltung von Hunderten einzelner Systeme oder der Versuch, einen konsolidierten Bericht zu erstellen, ist ohne eine gute zentrale Berichterstellungs- und Verwaltungsfunktion nahezu unmöglich. Stellen Sie bei der Auswahl eines Produkts sicher, dass es über zentralisierte Berichterstellung und Verwaltung verfügt, um neue Richtlinien auf allen Computern bereitzustellen oder Berichte von allen Computern aus an einem Ort zu erstellen.
Es gibt einige andere Dinge, die Sie beachten sollten. Erstens sind HIPS und NIPS keine "silberne Kugel" für die Sicherheit. Sie können eine gute Ergänzung zu einer soliden, mehrschichtigen Verteidigung sein, einschließlich Firewalls und Antivirus-Anwendungen, aber sie sollten nicht versuchen, vorhandene Technologien zu ersetzen.
Zweitens kann die anfängliche Implementierung einer HIPS-Lösung mühsam sein. Das Konfigurieren der anomaliebasierten Erkennung erfordert oft einiges "Handhalten", damit die Anwendung den "normalen" Verkehr verstehen kann und was nicht. Während der Arbeit können Sie eine Reihe von Fehlalarmen oder verpassten Negativen feststellen, um die Basis für den "normalen" Verkehr für Ihren Computer festzulegen.
Schließlich kaufen Unternehmen in der Regel Einkäufe, je nachdem, was sie für das Unternehmen tun können. Die gängige Rechnungslegungspraxis legt nahe, dass dies an der Rendite (ROI) gemessen wird.Buchhalter möchten wissen, ob sie einen Geldbetrag in ein neues Produkt oder eine neue Technologie investieren, wie lange es dauert, bis sich das Produkt oder die Technologie selbst bezahlt hat.
Leider passen Netzwerk- und Computersicherheitsprodukte im Allgemeinen nicht in diese Form. Die Sicherheit wirkt sich eher auf einen umgekehrten ROI aus. Wenn das Sicherheitsprodukt oder die Sicherheitstechnologie wie vorgesehen funktioniert, bleibt das Netzwerk sicher - es gibt jedoch keinen "Gewinn", um einen ROI zu messen. Sie müssen jedoch die Umkehrung betrachten und überlegen, wie viel das Unternehmen verlieren könnte, wenn das Produkt oder die Technologie nicht vorhanden wären. Wie viel Geld müsste für den Wiederaufbau von Servern, die Wiederherstellung von Daten, die Zeit und die Ressourcen für die Entsendung von technischem Personal nach einem Angriff usw. aufgewendet werden? Wenn das Produkt nicht vorhanden sein kann, kann dies möglicherweise wesentlich mehr Geld als die Produkt- oder Technologiekosten für die Implementierung bedeuten, dann ist es vielleicht sinnvoll, dies zu tun.
