Lagret sikkerhed er et bredt accepteret princip om computer- og netværkssikkerhed (se i dybdesikkerhed). Den grundlæggende forudsætning er, at det tager flere lag af forsvar at beskytte mod de mange forskellige angreb og trusler. Ikke alene kan et produkt eller en teknik ikke beskytte mod enhver mulig trussel og derfor kræve forskellige produkter til forskellige trusler, men at have flere forsvarslinjer vil forhåbentlig tillade et produkt at fange ting, der måske har skredet forbi de ydre forsvar.
Der er masser af applikationer og enheder, du kan bruge til de forskellige lag-antivirusprogrammer, firewalls, IDS (Intrusion Detection Systems) og meget mere. Hver har en lidt anden funktion og beskytter mod et andet sæt angreb på en anden måde.
En af de nyere teknologier er IPS-Intrusion Prevention System. En IPS er lidt som at kombinere en IDS med en firewall. En typisk IDS logger eller giver dig besked om mistænkelig trafik, men svaret bliver overladt til dig. En IPS har politikker og regler, som den sammenligner netværkstrafik med. Hvis nogen trafik overtræder politikkerne og reglerne, kan IPS'en konfigureres til at reagere snarere end blot at advare dig. Typiske svar kan være at blokere al trafik fra kilde-IP-adressen eller for at blokere indgående trafik på den pågældende port for at proaktivt beskytte computeren eller netværket.
Der findes netværksbaserede indbrudsforebyggelsessystemer (NIPS), og der findes host-baserede indbrudsforebyggelsessystemer (HIPS). Selvom det kan være dyrere at implementere HIPS-især i et stort virksomhedsmiljø, anbefaler jeg værtsbaseret sikkerhed, hvor det er muligt. Stop indbrud og infektioner på det enkelte arbejdsstationsniveau kan være langt mere effektivt ved blokering eller i det mindste indeholdende trusler. Med det i tankerne er her en liste over ting at se efter i en HIPS-løsning til dit netværk:
- Er ikke afhængig af signaturer: Signaturer - eller unikke kendetegn ved kendte trusler - er et af de primære midler, der bruges af software som antivirus og indtrængningsdetektion (IDS). Underskuddet af signaturer er, at de er reaktive. En signatur kan ikke udvikles, før der foreligger en trussel, og du kan potentielt blive angrebet, før signaturen oprettes. Din HIPS-løsning skal bruge signaturbaseret detektering sammen med anomaliebaseret detektering, der etablerer en basislinje for, hvad "normal" netværksaktivitet ligner på din maskine og vil reagere på enhver trafik, der forekommer usædvanlig. Hvis din computer f.eks. Aldrig bruger FTP, og pludselig forsøger en eller anden trussel at åbne en FTP-forbindelse fra din computer, vil HIPS registrere dette som uregelmæssig aktivitet.
- Fungerer med din konfiguration: Nogle HIPS-løsninger kan være restriktive med hensyn til hvilke programmer eller processer de kan overvåge og beskytte. Du bør forsøge at finde en HIPS, der er i stand til at håndtere kommercielle pakker ud af hylden samt eventuelle hjembrugte brugerdefinerede applikationer, du måtte bruge. Hvis du ikke bruger brugerdefinerede applikationer eller ikke anser dette som et væsentligt problem for dit miljø, skal du i det mindste sikre dig, at din HIPS-løsning beskytter programmerne og behandler dig gøre løb.
- Tillader dig at oprette politikker: De fleste HIPS-løsninger leveres med et smukt omfattende sæt af foruddefinerede politikker, og leverandører vil typisk tilbyde opdateringer eller frigive nye politikker for at give et specifikt svar på nye trusler eller angreb. Det er imidlertid vigtigt, at du har evnen til at oprette dine egne politikker, hvis du har en unik trussel, som sælgeren ikke tager højde for, eller når en ny trussel eksploderer, og du har brug for en politik til at forsvare dit system før sælgeren har tid til at frigive en opdatering. Du skal sørge for, at det produkt, du bruger, ikke kun har mulighed for at oprette politikker, men at oprettelsen af politikker er enkel nok til at du forstår uden uger af træning eller ekspertprogrammering.
- Giver centralrapportering og administration: Mens vi taler om værtsbaseret beskyttelse til individuelle servere eller arbejdsstationer, er HIPS og NIPS-løsninger relativt dyre og uden for rige for en typisk hjemmebruger. Så selv når du taler om HIPS, skal du sandsynligvis overveje det fra det synspunkt at implementere HIPS på muligvis hundredvis af desktops og servere på tværs af et netværk. Selvom det er rart at have beskyttelse på det enkelte skrivebordsniveau, administrerer hundredvis af individuelle systemer eller forsøger at oprette en konsolideret rapport, det er næsten umuligt uden en god central rapporterings- og administrationsfunktion. Når du vælger et produkt, skal du sikre dig, at det har centraliseret rapportering og administration, så du kan implementere nye politikker til alle maskiner eller til at oprette rapporter fra alle maskiner fra et sted.
Der er et par andre ting, du skal huske på. For det første er HIPS og NIPS ikke en "sølvkugle" for sikkerhed. De kan være en god tilføjelse til et solidt lagdelt forsvar, herunder firewalls og antivirusprogrammer, men bør ikke forsøge at erstatte eksisterende teknologier.
For det andet kan den første implementering af en HIPS-løsning være omhyggelig. Konfiguration af den anomaliebaserede detektering kræver ofte en god håndholding for at hjælpe applikationen med at forstå, hvad der er "normal" trafik, og hvad der ikke er. Du kan opleve en række falske positiver eller ubesvarede negativer, mens du arbejder for at etablere basislinjen for, hvad der definerer "normal" trafik for din maskine.
Endelig foretager virksomheder generelt køb baseret på, hvad de kan gøre for virksomheden. Standard regnskabspraksis antyder, at dette måles ud fra investeringsafkastet eller afkastet.Revisorer ønsker at forstå, om de investerer en sum penge i et nyt produkt eller en teknologi, hvor længe vil det tage for produktet eller teknologien at betale for sig selv.
Desværre passer netværks- og computer sikkerhedsprodukter normalt ikke til denne form. Sikkerhed virker på mere af et omvendt ROI. Hvis sikkerhedsproduktet eller teknologien fungerer som designet, forbliver netværket sikkert - men der er ingen "profit" for at måle et investeringsafkast. Du skal se på bagsiden dog og overveje, hvor meget selskabet kunne tabe, hvis produktet eller teknologien ikke var på plads. Hvor mange penge skal der bruges til at genopbygge servere, genoprette data, tid og ressourcer til at dedikere teknisk personale til at rydde op efter et angreb mv? Hvis du ikke har produktet, kan det medføre, at du mister betydeligt flere penge end produktet eller teknologien koster at gennemføre, så er det måske fornuftigt at gøre det.
