Қорғаудың осы соңғы жолында іздейміз
Қабатылған қауіпсіздік - компьютерлік және желілік қауіпсіздіктің кеңінен қолданылатын принципі («Тереңдігі қауіпсіздігі» бөлімін қараңыз). Негізгі ұстаным - көптеген шабуылдар мен қауіптерден қорғау үшін қорғаныстың көптеген топтарын талап етеді. Бір өнімді немесе техниканы әртүрлі қауіп-қатерге қарсы әртүрлі өнімдерді талап ететін, бірақ әр түрлі қорғаныс жолдарымен қамтамасыз ету мүмкін емес, бір өнімге сыртқы қорғаныстың сырғанауынан өткен нәрселерді ұстауға мүмкіндік беретініне сенім арта алмайды.
Әртүрлі қабаттар үшін қолдануға болатын көптеген қосымшалар мен құрылғылар бар - антивирус бағдарламалық жасақтамасы, желіаралық қалқандар, IDS (Intrusion Detection Systems) және басқалары. Әрқайсысы сәл өзгеше қызмет атқарады және әртүрлі шабуылдар жиынтығынан қорғайды.
Жаңа технологиялардың бірі - IPS- Intrusion Prevention System. IPS брандмауэрмен IDS-ді біріктіру сияқты. Әдеттегі IDS сізді күдікті трафикке жібереді немесе ескертеді, бірақ жауап сізге қалдырылады. IPS желілік трафикті салыстыратын саясат пен ережелер бар. Егер қандай да бір жол қозғалысы ережелері мен ережелерін бұзса, IPS сізді жай ғана ескертуге емес, жауап беру үшін конфигурациялануы мүмкін. Әдеттегі жауаптар бастапқы IP-мекен-жайдан барлық трафикті блоктау немесе компьютерді немесе желіні белсенді қорғау үшін сол портқа кіретін трафикті блоктау үшін болуы мүмкін.
Жүйеге кіруге қарсы жүйе бар (NIPS) және хостқа негізделген кіруді болдырмау жүйесі (HIPS) бар. HIPS-ні іске асыру үшін қымбат болса да, әсіресе үлкен, кәсіпорын ортасында, хост-негізделген қауіпсіздікті мүмкіндігінше ұсынамын. Жекелеген жұмыс станцияларында интрузиялар мен инфекцияларды тоқтату әлдеқайда тиімдірек болуы мүмкін, бұлар бұғаттауда, немесе кем дегенде, қауіп бар. Осыны ескере отырып, желідегі HIPS шешімінде іздеуге болатын нәрселер тізімі келтірілген:
- Қолтаңбаларға негізделмеген : Қолтаңбалар немесе белгілі қауіптердің ерекше сипаттамалары - антивирус және интрузияны анықтау (IDS) сияқты бағдарламамен пайдаланылатын негізгі құралдардың бірі. Қолдардың төмендеуі олар реактивті болып табылады. Қолтаңба қауіпті болғанға дейін жасалмайды және қолтаңба жасалмас бұрын ықтимал шабуыл жасай аласыз. Сіздің HIPS шешімі сіздің компьютеріңізде қандай «қалыпты» желі әрекеті көрінетінін және әдеттен тыс кез келген трафикке жауап беретін базалық сызықты белгілейтін аномальді негізделген анықтаумен бірге қолтаңба негізіндегі анықтауды қолдануы керек. Мысалы, егер сіздің компьютеріңізде ешқашан FTP пайдаланылмаса және кенеттен кейбір қауіп компьютеріңізден FTP қосылымын ашуға тырысса, онда HIPS бұл әрекетті ауытқушылық ретінде анықтайды.
- Конфигурациямен жұмыс істейді : Кейбір HIPS шешімдері бақылауға және қорғай алатын қандай бағдарламалар мен процестерге қатысты шектеу қоюы мүмкін. Сіз коммерциялық пакеттерді сөреден де, сондай-ақ пайдаланатын кез-келген үйде қолданылатын қолданбаларды да өңдеуге қабілетті HIPS табуға тырысыңыз. Егер сіз қолданбалы қолданбаларды пайдаланбайтын болсаңыз немесе бұл сіздің ортаңыз үшін маңызды мәселе деп қарастырмасаңыз, кем дегенде HIPS шешіміңіздің іске қосылған бағдарламаларды және процестерді қорғауын қамтамасыз етіңіз.
- Саясат жасау мүмкіндігін береді : HIPS шешімдерінің басым бөлігі алдын-ала анықталған саясаттардың өте көп жиынтығымен келеді және сатушылар әдетте жаңа қауіптер немесе шабуылдарға нақты жауап беру үшін жаңартулар немесе жаңа саясаттарды шығарады. Дегенмен, сіз өзіңіздің жеке саясатын жасай алуыңыз маңызды, егер сізге сатушы есеп бермейтін бірегей қауіп бар болса немесе жаңа қауіп төніп тұрса және сіздің жүйеңізді қорғау алдында саясат қажет болса сатушы жаңартуды босатуға уақытты алады. Сіз пайдаланатын өнімді тек қана саясат жасауға мүмкіндік беріп қана қоймай, сонымен қатар, бұл саясатты жасау аптаға жаттығу немесе сарапшы бағдарламалау дағдыларынсыз түсіну үшін жеткілікті болып табылады.
- Орталық есептемені және әкімшілікті қамтамасыз етеді : Біз жеке серверлерге немесе жұмыс станцияларына арналған хост-негізделген қорғаныс туралы айтып жатқанда, HIPS және NIPS шешімдері қымбат және үйдегі әдеттегі пайдаланушының аумағынан тыс. Мәселен, тіпті HIPS туралы сөйлескенде, оны тіпті HIPS-ді желі бойынша жүздеген үстел үсті және серверлерде орналастыру тұрғысынан қарастырған жөн. Жұмыс үстелі деңгейінде қорғанысты қамтамасыз ету жақсы болса да, жүздеген жеке жүйелерді басқару немесе біріктірілген есепті жасауға тырысу жақсы орталық есеп беру және басқару функциясы болмаса дерлік мүмкін емес. Өнімді таңдаған кезде, барлық компьютерлерге жаңа саясаттарды қолдануға немесе бір компьютерден барлық машиналардан есептер жасауға мүмкіндік беретін орталықтандырылған есептер мен әкімшілікке ие екеніне көз жеткізіңіз.
Бірнеше нәрсені есте сақтау керек. Біріншіден, HIPS және NIPS қауіпсіздік үшін «күміс оқ» болып табылмайды. Олар қатты, қабатты қорғанысқа, соның ішінде брандмауэрлерге және антивирустық қосымшаларға басқа нәрселермен қоса жақсы қосылуы мүмкін, бірақ бар технологияларды ауыстыруға тырыспауы керек.
Екіншіден, HIPS шешімі бастапқыда іске асуы мүмкін. Аномалияға негізделген анықтауды конфигурациялау көбінесе қолданбаға «қалыпты» трафик дегеніміз не, ол болмаған жағдайды түсінуге көмектесу үшін «ұстап қалудың» жақсы мәмілесін талап етеді. Құрылғыңыз үшін «қалыпты» трафикті анықтайтын неғұрлым негізделген сызықты белгілеу үшін жұмыс істеп жатқанда бірқатар қате позитивтерді немесе жіберіп алған теріс әсерлерді сезінуіңіз мүмкін.
Соңында, компаниялар көбінесе компания үшін не істей алатындығына байланысты сатып алулар жасайды. Стандартты есепке алу тәжірибесі бұл инвестициялардың кірістілігінің немесе ROI-нің негізінде өлшенетіндігін көрсетеді. Бухгалтерлер жаңа өнімге немесе технологияға ақшалай қаражаттың салынғанын түсінеді, өнімге немесе технологияға қанша уақыт кетеді?
Өкінішке орай, желілік және компьютерлік қауіпсіздік өнімдері, әдетте, бұл қалыпқа сай емес. Қауіпсіздік кері ROI-ден көп жұмыс істейді. Қауіпсіздік өнімі немесе технологиясы жұмыс істеп тұрса, желі қауіпсіз қалады, бірақ ROI-ті өлшеу үшін «пайда» болмайды. Сізге керісінше қарау керек және өнім немесе технология жоқ болған кезде компания жоғалту мүмкіндігін қарастыру керек. Серверлерді қалпына келтіруге, деректерді қалпына келтіруге, шабуылдан кейін тазалауға арналған техникалық персоналдың уақытын және ресурстарын қанша ақша жұмсауға болады және т.б. Өнім болмаса өнім немесе технологиялық шығындарға қарағанда әлдеқайда көп ақша жоғалтуы ықтимал болса, онда мұны істеу мағынасы бар шығар.