Ushbu so'nggi mudofaa hatti-harakatlariga qarash kerak bo'lgan narsalar
Qatlamli xavfsizlik - kompyuter va tarmoq xavfsizligining keng tarqalgan qabul qilingan printsipi (tubsiz xavfsizlik bo'limiga qarang). Asosan, hujumlarning va tahdidlarning keng tarqalishidan himoya qilish uchun ko'plab himoya darajalariga ega. Faqatgina bitta mahsulot yoki texnika har qanday tahdiddan himoyalanish uchun emas, shuning uchun turli xil tahdidlar uchun turli xil mahsulotlarni talab qiladigan bo'lishi mumkin, lekin bir nechta himoya mudofaasi mavjud bo'lgan mahsulotni tashqi himoyadan pastga tushib ketgan narsalarni topishga imkon berishi mumkin.
Turli qatlamlar uchun foydalanishingiz mumkin bo'lgan ko'plab ilovalar va qurilmalar - antivirus dasturlari, xavfsizlik devorlari, IDS (Intrusion Detection Systems) va boshqalar. Ularning har biri bir oz boshqacha funktsiyaga ega va turli xil hujumlardan turli xil yo'llar bilan himoya qiladi.
Yangi texnologiyalardan biri - IPS - Intrusion Prevention System. Agar IPS xavfsizlik devori bilan IDSni birlashtirsa o'xshaydi. Odatda, IDS sizni shubhali trafikka kiritadi yoki sizni ogohlantiradi, ammo javob sizga qoldiriladi. IPS tarmoq trafigini taqqoslaydigan siyosat va qoidalarga ega. Agar biron-bir yo'l IPS qoidalarini buzsa, sizni ogohlantirish o'rniga javob berishga tayyor bo'lishi mumkin. Odatda javoblar kompyuter yoki tarmoqni proaktif ravishda himoya qilish uchun manba IP-manzilidagi barcha trafikni bloklash yoki u portdagi kiruvchi trafikni blokirovka qilish bo'lishi mumkin.
Tarmoqqa qarshi hujum qilishni oldini olish tizimlari (NIPS) mavjud va host-asosidagi hujum qilishni oldini olish tizimlari (HIPS) mavjud. HIPSni amalga oshirish uchun qimmatroq bo'lishi mumkin, ayniqsa katta, korporativ muhitda men xost-bazlı xavfsizlikni iloji boricha tavsiya qilaman. Har bir ish stantsiyasida zo'ravonlik va infektsiyalarni to'xtatish, blokirovka qilish yoki hech bo'lmaganda, xavf-xatarlarni keltirib chiqarishi mumkin. Shuni inobatga olgan holda, sizning tarmog'ingiz uchun HIPS echimini izlash kerak bo'lgan narsalarning ro'yxati:
- Imzolarga ishonmaslik: imzo - yoki ma'lum tahdidlarning noyob xususiyatlari - antivirus va tajovuzni aniqlash (IDS) kabi dasturiy ta'minot tomonidan ishlatiladigan asosiy vositalardan biri hisoblanadi .Qo'lning yiqilishi ular reaktiv hisoblanadi. Imzolash tahdid mavjud bo'lgunga qadar ishlab chiqilmaydi va imzo yaratilishidan oldin siz potentsial ravishda hujumga uchrashi mumkin. Sizning HIPS echimingiz imzo-asosli aniqlashni anomaliyaga asoslangan aniqlash bilan birga foydalanishi kerak, bu sizning kompyuteringizda "oddiy" tarmoq faoliyatining qanday ko'rinishini belgilaydi va odatiy bo'lmagan har qanday trafikka javob beradi. Misol uchun, agar kompyuteringiz hech qachon FTP dan foydalanmasa va birdan tahdid kompyuteringizdan FTP ulanishni ochishga harakat qilsa, HIPS buni anomal harakat deb aniqlaydi.
- Konfiguratsiyangiz bilan ishlaydi : Ba'zi HIPS echimlari kuzatilishi va saqlanishi mumkin bo'lgan dasturlar yoki jarayonlarga nisbatan cheklangan bo'lishi mumkin. Savdo paketlarni rafdan tashqarida ishlatadigan, shuningdek siz foydalanadigan har qanday uyda ishlab chiqilgan maxsus ilovalar bilan ishlaydigan HIPS topishga harakat qilishingiz kerak. Maxsus ilovalardan foydalanmasangiz yoki bu sizning atrofingiz uchun jiddiy muammo deb hisoblamasangiz, hech bo'lmaganda, sizning HIPS echimingizning amalga oshiradigan dastur va jarayonlarni himoya qilishiga ishonch hosil qiling.
- Siyosat yaratish uchun imkon beradi : Ko'p HIPS echimlari oldindan belgilangan siyosatlarning juda keng qamrovli to'plami bilan ta'minlanadi va sotuvchilar odatda yangiliklarni taqdim etadilar yoki yangi tahdidlar yoki hujumlar uchun maxsus javob berish uchun yangi qoidalarni qo'yadilar. Shunga qaramasdan, agar siz sotuvchiga hisob bermasa yoki yangi tahdid paydo bo'lganda va sistemangizni himoya qilish uchun siyosat kerak bo'lsa, siz o'zingizning siyosatingizni yaratish qobiliyatiga ega bo'lishingiz muhim. sotuvchi yangilanishni bekor qilishi kerak. Siz foydalanadigan mahsulotning nafaqat siyosat yaratish qobiliyatiga ega bo'lishiga ishonch hosil qilishingiz kerak, lekin bu siyosatni yaratish haftada bir marta o'qitish yoki mutaxassis dasturiy ko'nikmalarsiz tushunishingiz uchun etarli.
- Markaziy hisobot va boshqaruvni ta'minlaydi : Biz shaxsiy serverlar yoki ish stantsiyalari uchun xost-bazlı himoya haqida gapirganda, HIPS va NIPS echimlari nisbatan qimmat va odatdagi uy foydalanuvchisining hududidan tashqarida. Shunday qilib, HIPS haqida gapirganda ham ehtimol siz uni HIPSni tarmoq bo'ylab yuzlab ish stoli va serverlarida joylashtirish nuqtai nazaridan ko'rib chiqishingiz kerak. Har bir shaxsiy stol darajasida himoya qilish yaxshi bo'lsa-da, yuzlab individual tizimni boshqarish yoki konsolide hisobot tuzishga harakat qilish, yaxshi markaziy hisobot berish va funktsiyalarni boshqarishsiz deyarli mumkin emas. Agar mahsulotni tanlashda, siz barcha mashinalar uchun yangi qoidalarni tarqatish yoki barcha joylardan bitta joydan hisobotlar yaratish uchun markazlashgan hisobot va boshqaruvga ega bo'lishiga ishonch hosil qiling.
Sizga kerak bo'lgan boshqa narsalar ham bor. Avvalo, HIPS va NIPS xavfsizlik uchun "kumush o'q" emas. Ular boshqa narsalar qatori xavfsizlik devorlari va antivirus dasturlarini ham mustahkam, qatlamli mudofaa uchun katta qo'shimcha bo'lishi mumkin, lekin mavjud texnologiyalarni o'zgartirishga urinmaslik kerak.
Ikkinchidan, HIPS yechimining dastlabki tadbiri juda chuqurroq bo'lishi mumkin. Anomaliyaga asoslanib aniqlashni konfiguratsiya qilish odatda "oddiy" transportning nima ekanligini tushunishga yordam berish uchun juda yaxshi "qo'lni ushlab turish" ni talab qiladi. Siz mashinangiz uchun "normal" trafikni belgilaydigan holatni aniqlash uchun ishlayotganda bir qator noto'g'ri pozitsiyalarni yoki o'tkazib yuborilgan negativlarni ko'rishingiz mumkin.
Nihoyat, kompaniyalar odatda kompaniyaga nima qilishlari mumkinligi asosida xaridlarni amalga oshiradilar. Standart buxgalteriya amaliyoti uni investitsiyalar yoki ROI qiymatlari asosida o'lchashni nazarda tutadi. Buxgalterlar yangi mahsulot yoki texnologiyalarga pul mablag'larini sarflashni tushunishlarini xohlaydilar, mahsulot yoki texnologiyalar uchun qancha vaqt pul to'lashlari kerak.
Afsuski, tarmoq va kompyuter xavfsizligi mahsulotlari, odatda, bu qolipga mos kelmaydi. Xavfsizlik, teskari investitsiyalarning katta qismida ishlaydi. Agar xavfsizlik mahsuloti yoki texnologiyasi ishlab chiqilgan bo'lsa, tarmoq xavfsiz bo'lib qoladi, ammo ROIni o'lchash uchun "foyda" bo'lmaydi. Agar mahsulotni yoki texnologiyani qo'llamagan bo'lsa, aksincha, qarama-qarshi tomonga qarash va kompaniyani qanday yo'qotishi mumkinligini hisobga olish kerak. Serverlarni qayta tiklash, ma'lumotni tiklash, texnik xodimlarni hujumdan keyin tozalash uchun vaqt va mablag'lar va hokazo qancha mablag 'sarflash kerak edi? Agar mahsulotni sotib olmaslik mahsulot yoki texnologiya xarajatlaridan ko'ra ko'proq pul yo'qotishiga olib kelishi mumkin bo'lsa, unda buni qilish mantiqan bo'lishi mumkin.