在这最后一道防线上寻找的东西
分层安全是计算机和网络安全的广泛接受原则(参见深度安全)。 基本前提是需要多层防御来抵御各种各样的攻击和威胁。 不仅一种产品或技术不能防范所有可能的威胁,因此需要不同的产品来应对不同的威胁,而是采用多种防御措施,希望可以让一种产品抓住可能已经滑过外部防御的东西。
有许多应用程序和设备可用于不同的层面 - 防病毒软件,防火墙,IDS(入侵检测系统)等。 每个人都有一个稍微不同的功能,并以不同的方式防止一组不同的攻击。
其中一项新技术是IPS入侵防御系统。 IPS有点像将IDS与防火墙结合在一起。 一个典型的IDS会记录或提醒您可疑的流量,但回复留给您。 IPS具有将网络流量与之进行比较的策略和规则。 如果任何流量违反了策略和规则,IPS可以配置为响应而不是简单地提醒您。 典型的响应可能是阻止来自源IP地址的所有流量,或者阻止该端口上的传入流量来主动保护计算机或网络。
有基于网络的入侵防御系统(NIPS)和基于主机的入侵防御系统(HIPS)。 虽然实施HIPS可能会更加昂贵,尤其是在大型企业环境中,但我建议尽可能使用基于主机的安全性。 在单个工作站级停止入侵和感染可以更有效地阻止或至少抑制威胁。 考虑到这一点,以下列出了您的网络HIPS解决方案中需要查找的内容:
- 不依赖签名 :已知威胁的签名 - 或唯一特征 - 是防病毒和入侵检测(IDS)等软件使用的主要手段之一。签名的失败是它们是被动的。 直到存在威胁之后才能开发签名,并且在创建签名之前可能会受到攻击。 您的HIPS解决方案应该使用基于特征码的检测以及基于异常的检测,从而为您的机器上“正常”网络活动的外观建立基线,并对任何看似不寻常的流量做出响应。 例如,如果您的计算机从不使用FTP,并且突然出现某种威胁尝试从您的计算机打开FTP连接,则HIPS会将其检测为异常活动。
- 适用于您的配置 :一些HIPS解决方案可能会限制他们能够监控和保护的程序或流程。 您应该尝试找到能够处理现成的商业软件包以及您可能使用的任何自制的定制应用程序的HIPS。 如果您不使用自定义应用程序或不认为这是您环境的重大问题,至少应确保您的HIPS解决方案保护您运行的程序和流程。
- 允许您创建策略 :大多数HIPS解决方案都带有一套相当全面的预定义策略,供应商通常会提供更新或发布新策略,以针对新威胁或攻击提供特定响应。 但是,如果您有一个独特的威胁,即供应商无法解释或者当新的威胁爆炸,并且您需要一个策略来保护您的系统时,有能力创建自己的策略,这一点非常重要。供应商有时间发布更新。 您需要确保您使用的产品不仅具备创建策略的能力,而且该策略的创建足够简单,无需数周的培训或专业编程技能即可理解。
- 提供中央报告和管理 :虽然我们正在讨论针对个人服务器或工作站的基于主机的保护,但HIPS和NIPS解决方案相对昂贵且不属于典型的家庭用户领域。 因此,即使在谈论HIPS时,您可能需要从在网络上可能有数百台台式机和服务器上部署HIPS的角度来考虑它。 如果没有良好的中央报告和管理功能,在单个桌面级别上进行保护是很好的做法,管理数百个独立系统或尝试创建综合报告几乎是不可能的。 选择产品时,请确保它具有集中的报告和管理功能,以便您可以将新策略部署到所有机器或从一个位置的所有机器创建报告。
还有其他一些事情需要记住。 首先,HIPS和NIPS不是安全的“银弹”。 除了防火墙和防病毒应用之外,它们可以成为坚实的分层防御的重要补充,但不应该试图取代现有的技术。
其次,HIPS解决方案的初步实施可能非常艰巨。 配置基于异常的检测通常需要大量的“手持”来帮助应用程序了解什么是“正常”流量,什么不是。 在您建立为您的机器定义“正常”流量的基准时,您可能会遇到一些误报或漏报。
最后,公司通常根据他们可以为公司做的事情进行采购。 标准会计实践表明,这是根据投资回报率或投资回报率来衡量的。 会计师希望了解他们是否将一笔资金投入到新产品或新技术中,产品或技术需要多长时间才能为自己买单。
不幸的是,网络和计算机安全产品通常不适合这种模具。 安全性在更多的反向ROI上运行。 如果安全产品或技术按设计工作,网络将保持安全 - 但不会有“利润”来衡量投资回报率。 你必须反过来看看,如果产品或技术不到位,公司可能会损失多少。 在重建服务器,恢复数据,专门技术人员在攻击后清理的时间和资源等方面需要花费多少钱? 如果没有产品可能会导致损失的金钱远远超过实施产品或技术成本,那么或许这样做是有道理的。