أشياء للبحث عنها في هذا الخط الأخير من الدفاع
يعد التأمين متعدد الطبقات من المبادئ المقبولة على نطاق واسع لأمن الكمبيوتر والشبكة (انظر في "أمان في العمق"). الفرضية الأساسية هي أنه يتطلب عدة طبقات من الحماية لحماية مجموعة واسعة من الهجمات والتهديدات. لا يمكن لمنتج واحد أو تقنية واحدة فقط أن تحمي من كل تهديد محتمل ، وبالتالي تتطلب منتجات مختلفة لتهديدات مختلفة ، ولكن وجود خطوط دفاع متعددة من المأمول أن تسمح لمنتج واحد بالقبض على الأشياء التي قد تكون تجاوزت الدفاعات الخارجية.
هناك الكثير من التطبيقات والأجهزة التي يمكنك استخدامها للطبقات المختلفة - برامج مكافحة الفيروسات ، والجدران النارية ، و IDS (أنظمة كشف التسلل) وأكثر من ذلك. كل واحد لديه وظيفة مختلفة قليلا ويحمي من مجموعة مختلفة من الهجمات بطريقة مختلفة.
واحدة من أحدث التقنيات هي نظام منع التطفل IPS. IPS يشبه إلى حد ما الجمع بين IDS وجدار الحماية. ﺳﻮف ﻳﻘﻮم ﻧﻈﺎم IDS اﻟﻨﻤﻮذﺟﻲ ﺑﺘﺴﺠﻴﻞ اﻟﻨﻈﺎم أو ﻧﺒﻬﺘﻚ إﻟﻰ ﺣﺮآﺔ اﻟﻤﺮور اﻟﻤﺸﺒﻮهﺔ ، وﻟﻜﻦ ﻳﺘﻢ ﺗﺮك اﻹﺟﺎﺑﺔ ﻋﻠﻴﻚ لدى IPS سياسات وقواعد تقارن بها مرور الشبكة بـ. إذا كانت أي حركة مرور تنتهك السياسات والقواعد ، يمكن تكوين IPS للرد بدلاً من مجرد تنبيهك. قد تكون الاستجابات النموذجية هي منع جميع الزيارات من عنوان IP المصدر أو حظر حركة المرور الواردة على هذا المنفذ لحماية جهاز الكمبيوتر أو الشبكة بشكل استباقي.
هناك أنظمة منع التطفل المستندة إلى الشبكة (NIPS) وهناك أنظمة منع التطفل المستندة إلى المضيف (HIPS). في حين أنه يمكن أن يكون أكثر تكلفة لتنفيذ HIPS - خاصة في بيئة المؤسسات الكبيرة ، فإنني أوصي بأمان قائم على المضيف حيثما أمكن ذلك. يمكن أن يكون وقف الاختراقات والالتهابات على مستوى محطة العمل الفردية أكثر فعالية في منع التهديدات أو احتوائها على الأقل. مع أخذ ذلك في الاعتبار ، إليك قائمة بالأشياء التي يجب البحث عنها في حل HIPS لشبكتك:
- لا تعتمد على التواقيع : التوقيعات أو الخصائص الفريدة للتهديدات المعروفة هي واحدة من الوسائل الأساسية التي تستخدمها البرامج مثل اكتشاف الفيروسات ومكافحة التسلل (IDS). سقوط التوقيعات هو أنها متفاعلة. لا يمكن تطوير التوقيع إلا بعد وجود تهديد ومن المحتمل أن تتعرض للهجوم قبل إنشاء التوقيع. يجب أن يقوم حل HIPS الخاص بك باستخدام الكشف المستند إلى التوقيع جنبا إلى جنب مع الكشف القائم على الشذوذ الذي يحدد خط الأساس لما يبدو عليه نشاط الشبكة "العادي" على جهازك ويستجيب لأي حركة مرور تبدو غير عادية. على سبيل المثال ، إذا كان جهاز الكمبيوتر الخاص بك لا يستخدم بروتوكول FTP مطلقًا وفجأة يحاول بعض التهديدات فتح اتصال FTP من جهاز الكمبيوتر الخاص بك ، فسيكتشف نظام HIPS هذا كنشاط شاذ.
- يعمل مع التكوين الخاص بك : قد تكون بعض حلول HIPS مقيدة من حيث ما هي البرامج أو العمليات التي يستطيعون مراقبتها وحمايتها. يجب أن تحاول العثور على HIPS قادر على التعامل مع الحزم التجارية من على الرف وكذلك أي تطبيقات مخصصة محلية قد تستخدمها. إذا كنت لا تستخدم تطبيقات مخصصة أو لا تعتبر هذه مشكلة كبيرة للبيئة الخاصة بك ، على الأقل تأكد من أن حل HIPS الخاص بك يحمي البرامج والعمليات التي تقوم بها .
- يسمح لك بإنشاء السياسات : تأتي معظم حلول HIPS مع مجموعة شاملة جدًا من السياسات المحددة مسبقًا ، وعادةً ما يقدم الموردون تحديثات أو يصدرون سياسات جديدة لتقديم استجابة محددة للتهديدات أو الهجمات الجديدة. ومع ذلك ، من المهم أن تكون لديك القدرة على إنشاء سياساتك الخاصة في حالة وجود تهديد فريد لا يفرضه البائع أو عندما ينفجر تهديد جديد وتحتاج إلى سياسة للدفاع عن النظام الخاص بك قبل لدى البائع وقت لتحرير تحديث. أنت بحاجة إلى التأكد من أن المنتج الذي تستخدمه ليس فقط لديه القدرة على إنشاء السياسات ، ولكن إنشاء السياسة هذا بسيط بما يكفي لفهمه دون أسابيع من التدريب أو مهارات البرمجة المتخصصة.
- تقديم التقارير والإدارة المركزية : في حين أننا نتحدث عن الحماية المستندة إلى المضيف للخوادم أو محطات العمل الفردية ، فإن حلول HIPS و NIPS مكلفة نسبيًا وتقع خارج نطاق مستخدم المنزل العادي. لذلك ، حتى عند الحديث عن HIPS ، قد تحتاج إلى التفكير في الأمر من وجهة نظر نشر HIPS على مئات أجهزة الكمبيوتر المكتبية والخوادم المحتملة عبر الشبكة. في حين أنه من الجيد الحصول على الحماية على مستوى سطح المكتب الفردي ، فإن إدارة مئات الأنظمة الفردية ، أو محاولة إنشاء تقرير موحد قد يكون شبه مستحيل بدون وظيفة إعداد التقارير المركزية والإدارة الجيدة. عند اختيار أحد المنتجات ، تأكد من أنه يمتلك مركزًا مركزيًا لإعداد التقارير والإدارة للسماح لك بنشر سياسات جديدة على جميع الأجهزة أو لإنشاء تقارير من جميع الأجهزة من موقع واحد.
هناك بعض الأشياء الأخرى التي يجب أن تضعها في اعتبارك. أولا ، HIPS و NIPS ليست "رصاصة فضية" للأمن. يمكن أن تكون إضافة رائعة للدفاع المتين ذي الطبقات ، بما في ذلك الجدران النارية وتطبيقات مكافحة الفيروسات ، من بين أمور أخرى ، ولكن يجب ألا تحاول استبدال التقنيات الموجودة.
ثانيا ، يمكن أن يكون التنفيذ الأولي لحلول HIPS مضنيا. غالباً ما يتطلب تكوين الكشف القائم على الشذوذ قدرًا كبيرًا من "حمل اليد" لمساعدة التطبيق على فهم ما هي حركة المرور "العادية" وما هو غير ذلك. قد تواجه عددًا من الإيجابيات الزائفة أو السلبية السلبية أثناء العمل على تحديد الأساس لما يحدد حركة المرور "العادية" لجهازك.
وأخيرًا ، تقوم الشركات بصفة عامة بعمليات شراء استنادًا إلى ما يمكنها فعله للشركة. تقترح الممارسة المحاسبية القياسية أن يتم قياس ذلك بناءً على عائد الاستثمار أو عائد الاستثمار. يرغب المحاسبون في فهم ما إذا كانوا يستثمرون مبلغًا من المال في منتج جديد أو تقنية جديدة ، كم من الوقت سيستغرق المنتج أو التكنولوجيا ما يدفعه لنفسه.
لسوء الحظ ، لا تتلاءم منتجات أمان الشبكات والأجهزة مع هذا القالب عمومًا. يعمل الأمن على أكثر من العائد على الاستثمار العكسي. إذا كان المنتج أو التقنية الأمنية تعمل كما تم تصميمها ، فستظل الشبكة آمنة - ولكن لن يكون هناك "ربح" لقياس عائد الاستثمار من. عليك النظر إلى الاتجاه المعاكس والنظر في مقدار ما قد تخسره الشركة إذا لم يكن المنتج أو التقنية في مكانها الصحيح. ما هو المبلغ الذي يجب إنفاقه على إعادة بناء الخوادم ، واستعادة البيانات ، والوقت والموارد اللازمة لتخصيص الموظفين التقنيين للتنظيف بعد الهجوم ، وما إلى ذلك؟ إذا كان عدم امتلاك المنتج قد يؤدي إلى خسارة أموال أكثر بكثير من تكاليف المنتج أو التقنية المطلوب تنفيذه ، فربما يكون من المنطقي القيام بذلك.