Gelaagde beveiliging is een algemeen geaccepteerd principe van computer- en netwerkbeveiliging (zie In Depth Security). Het uitgangspunt is dat er meerdere verdedigingslagen nodig zijn om te beschermen tegen de grote verscheidenheid aan aanvallen en bedreigingen. Niet alleen kan één product of techniek niet beschermen tegen alle mogelijke bedreigingen, waardoor verschillende producten nodig zijn voor verschillende bedreigingen, maar met meerdere verdedigingslinies kan hopelijk één product dingen vangen die voorbij de buitenste verdediging zijn geglipt.
Er zijn tal van toepassingen en apparaten die u voor de verschillende lagen kunt gebruiken: antivirussoftware, firewalls, IDS (Intrusion Detection Systems) en meer. Elk heeft een iets andere functie en beschermt op een andere manier tegen een andere reeks aanvallen.
Een van de nieuwere technologieën is het IPS-Intrusion Prevention System. Een IPS lijkt een beetje op het combineren van een IDS met een firewall. Een typische IDS logt in of waarschuwt u voor verdacht verkeer, maar de reactie wordt aan u overgelaten. Een IPS heeft beleid en regels waarmee het netwerkverkeer vergelijkt. Als verkeer in strijd is met het beleid en de regels, kan de IPS worden geconfigureerd om te reageren in plaats van u eenvoudig te waarschuwen. Typische reacties kunnen zijn om alle verkeer van het bron-IP-adres te blokkeren of om inkomend verkeer op die poort te blokkeren om proactief de computer of het netwerk te beschermen.
Er zijn netwerkgebaseerde inbraakpreventiesystemen (NIPS) en er zijn host-gebaseerde inbraakpreventiesystemen (HIPS). Hoewel het duurder kan zijn om HIPS te implementeren, vooral in een grote bedrijfsomgeving, raad ik waar mogelijk aan op host gebaseerde beveiliging. Het stoppen van inbraken en infecties op individueel niveau van het werkstation kan veel effectiever zijn bij het blokkeren of op zijn minst bevatten van bedreigingen. Met dat in gedachten, hier is een lijst van dingen om naar te zoeken in een HIPS-oplossing voor uw netwerk:
- Vertrouwt niet op handtekeningen: Handtekeningen- of unieke kenmerken van bekende bedreigingen- zijn een van de belangrijkste middelen die worden gebruikt door software zoals antivirus en intrusion detection (IDS). De ondergang van handtekeningen is dat ze reactief zijn. Een handtekening kan pas worden ontwikkeld nadat er een dreiging bestaat en u mogelijk wordt aangevallen voordat de handtekening wordt gemaakt. Uw HIPS-oplossing moet signatuurgebaseerde detectie gebruiken, samen met op anomalie gebaseerde detectie, die een basislijn vaststelt van hoe "normale" netwerkactiviteit eruit ziet op uw machine en die reageert op verkeer dat ongebruikelijk lijkt. Als uw computer bijvoorbeeld nooit FTP gebruikt en op een keer een bedreiging een FTP-verbinding probeert te openen vanaf uw computer, zou de HIPS dit als een abnormale activiteit detecteren.
- Werkt met uw configuratie: Sommige HIPS-oplossingen kunnen beperkend zijn voor welke programma's of processen ze kunnen monitoren en beschermen. U zou moeten proberen een HIPS te vinden die in staat is om commerciële pakketten van de plank te verwerken, evenals alle zelfgemaakte applicaties die u misschien gebruikt. Als u geen aangepaste toepassingen gebruikt of dit niet als een groot probleem voor uw omgeving beschouwt, zorg er dan voor dat uw HIPS-oplossing de programma's en processen die u gebruikt, beschermt do rennen.
- Sta je toe om beleid te maken: De meeste HIPS-oplossingen worden geleverd met een vrij uitgebreide reeks van vooraf gedefinieerde beleidsregels en leveranciers bieden meestal updates of geven nieuw beleid vrij om een specifiek antwoord te bieden voor nieuwe bedreigingen of aanvallen. Het is echter belangrijk dat u de mogelijkheid heeft om uw eigen beleid te maken in het geval dat u een unieke bedreiging hebt waar de leverancier geen rekening mee houdt of wanneer een nieuwe dreiging explodeert en u een beleid nodig heeft om uw systeem te verdedigen voordat de de leverancier heeft tijd om een update uit te brengen. U moet ervoor zorgen dat het product dat u gebruikt, niet alleen de mogelijkheid heeft om beleid te maken, maar dat het maken van beleid eenvoudig genoeg is om te begrijpen zonder wekenlange training of deskundige programmeervaardigheden.
- Biedt centrale rapportage en administratie: Hoewel we het hebben over hostgebaseerde beveiliging voor individuele servers of werkstations, zijn HIPS- en NIPS-oplossingen relatief duur en buiten het bereik van een typische thuisgebruiker. Dus zelfs als het gaat om HIPS, moet je het waarschijnlijk overwegen vanuit het oogpunt van het implementeren van HIPS op mogelijk honderden desktops en servers in een netwerk. Hoewel het prettig is om bescherming te hebben op individueel bureaubladniveau, kan het beheer van honderden afzonderlijke systemen of het proberen van een geconsolideerd rapport bijna onmogelijk zijn zonder een goede centrale rapportage- en beheerfunctie. Zorg er bij het selecteren van een product voor dat er gecentraliseerde rapportage en beheer is zodat u nieuw beleid op alle machines kunt implementeren of rapporten van alle machines vanaf één locatie kunt maken.
Er zijn een paar andere dingen die u moet onthouden. Ten eerste zijn HIPS en NIPS geen "zilveren kogel" voor beveiliging. Ze kunnen een goede aanvulling zijn op een solide, gelaagde verdediging, waaronder firewalls en antivirusprogramma's, maar moeten niet proberen bestaande technologieën te vervangen.
Ten tweede kan de eerste implementatie van een HIPS-oplossing nauwgezet zijn. Het configureren van de op anomalie gebaseerde detectie vereist vaak een groot deel van de "handhouding" om de toepassing te helpen begrijpen wat "normaal" verkeer is en wat niet. U kunt een aantal valse positieven of gemiste negatieven ervaren terwijl u werkt om de basislijn vast te stellen van wat "normaal" verkeer voor uw machine definieert.
Ten slotte maken bedrijven over het algemeen aankopen op basis van wat ze voor het bedrijf kunnen doen. Standaard boekhoudpraktijken suggereren dat dit wordt gemeten op basis van het rendement op investering of ROI.Accountants willen begrijpen of ze een geldbedrag investeren in een nieuw product of nieuwe technologie, hoe lang het duurt voordat het product of de technologie zichzelf terugbetaalt.
Helaas passen netwerk- en computerbeveiligingsproducten over het algemeen niet in deze mal. Beveiliging werkt op meer reverse-ROI. Als het beveiligingsproduct of de technologie werkt zoals ontworpen, blijft het netwerk veilig, maar er is geen "winst" om een ROI van te meten. Je moet echter naar de achterkant kijken en bedenken hoeveel het bedrijf zou kunnen verliezen als het product of de technologie niet op zijn plaats was. Hoeveel geld zou er moeten worden besteed aan het opnieuw opbouwen van servers, het herstellen van gegevens, de tijd en middelen van het inzetten van technisch personeel om op te ruimen na een aanval, enz.? Als het niet zo is dat het product mogelijk tot gevolg heeft dat u aanzienlijk meer geld verliest dan de product- of technologiekosten die u moet implementeren, is het misschien logisch om dit te doen.
