Pethau i'w Edrych yn Y Llinell Dros Dro o Amddiffyn
Mae diogelwch gwallt yn egwyddor o ddiogelwch cyfrifiaduron a rhwydwaith yn gyffredinol (gweler In Depth Security). Yr egwyddor sylfaenol yw ei fod yn cymryd haenau amddiffyn lluosog i amddiffyn yn erbyn yr amrywiaeth eang o ymosodiadau a bygythiadau. Nid yn unig y gall un cynnyrch na thechneg amddiffyn yn erbyn pob bygythiad posibl, felly mae angen cynhyrchion gwahanol ar gyfer gwahanol fygythiadau, ond gobeithio y bydd cael llinellau amddiffyn lluosog yn caniatáu i un cynnyrch ddal pethau a allai fod wedi llithro dros yr amddiffynfeydd allanol.
Mae yna lawer o geisiadau a dyfeisiau y gallwch eu defnyddio ar gyfer y gwahanol feddalwedd haenau-antivirus, waliau tân, IDS (Systemau Canfod Ymyrraeth) a mwy. Mae gan bob un swyddogaeth ychydig yn wahanol ac mae'n amddiffyn rhag set wahanol o ymosodiadau mewn ffordd wahanol.
Un o'r technolegau newydd yw'r System Atal Ymyrraeth IPS. Mae IPS ychydig yn debyg i gyfuno IDS gyda wal dân. Bydd IDS nodweddiadol yn logio neu'n eich rhybuddio i draffig amheus, ond mae'r ymateb yn cael ei adael i chi. Mae gan IPS bolisïau a rheolau sy'n cymharu traffig rhwydwaith i. Os bydd unrhyw draffig yn torri'r polisïau a'r rheolau, gellir ffurfweddu'r IPS i ymateb yn hytrach na dim ond rhybuddio chi. Efallai y bydd ymatebion nodweddiadol i atal pob traffig o'r cyfeiriad IP ffynhonnell neu i atal traffig sy'n dod i mewn ar y porthladd hwnnw i amddiffyn y cyfrifiadur neu'r rhwydwaith rhagweithiol.
Mae systemau atal ymyrraeth yn seiliedig ar rwydwaith (NIPS) ac mae systemau atal ymyrraeth yn seiliedig ar y llu (HIPS). Er y gall fod yn ddrutach i weithredu HIPS - yn enwedig mewn amgylchedd menter mawr, rwy'n argymell diogelwch sy'n seiliedig ar westeion lle bynnag y bo modd. Gall atal ymwthiadau a heintiau ar lefel y gweithfan unigol fod yn llawer mwy effeithiol wrth rwystro, neu o leiaf yn cynnwys bygythiadau. Gyda hynny mewn golwg, dyma restr o bethau i'w chwilio mewn ateb HIPS ar gyfer eich rhwydwaith:
- Ddim yn Rhoi'r Arwyddion ar Lofnodion : Mae arwyddion - neu nodweddion unigryw bygythiadau hysbys - yn un o'r prif ddulliau a ddefnyddir gan feddalwedd fel antivirws a chanfod ymyrraeth (IDS). Mae colli llofnodion yn golygu eu bod yn adweithiol. Ni ellir llofnodi'r llofnod hyd nes y bydd bygythiad yn bodoli a gellid ymosod arnoch cyn i'r llofnod gael ei greu. Dylai eich datrysiad HIPS ddefnyddio darganfod ar sail llofnod ynghyd â chanfod anghysondeb sy'n sefydlu llinell sylfaen o'r gweithgaredd rhwydwaith "normal" yn edrych ar eich peiriant a bydd yn ymateb i unrhyw draffig sy'n ymddangos yn anarferol. Er enghraifft, os nad yw'ch cyfrifiadur byth yn defnyddio FTP ac yn sydyn mae rhywfaint o fygythiad yn ceisio agor cysylltiad FTP oddi wrth eich cyfrifiadur, byddai'r HIPS yn canfod hyn fel gweithgaredd anffurfiol.
- Gweithio Gyda'ch Ffurfweddiad : Efallai y bydd rhai atebion HIPS yn gyfyngu o ran pa raglenni neu brosesau y gallant eu monitro a'u diogelu. Dylech geisio dod o hyd i HIPS sy'n gallu delio â phecynnau masnachol oddi ar y silff yn ogystal ag unrhyw geisiadau arferol y gallwch eu defnyddio. Os nad ydych chi'n defnyddio cymwysiadau arferol neu os nad ydych chi'n ystyried bod hyn yn broblem sylweddol i'ch amgylchedd, o leiaf sicrhewch fod eich ateb HIPS yn gwarchod y rhaglenni a'r prosesau rydych chi'n eu rhedeg.
- Mae'n caniatáu i chi greu polisïau : Mae'r rhan fwyaf o atebion HIPS yn dod â set eithaf cynhwysfawr o bolisïau a gwerthwyr a ddiffiniwyd yn flaenorol, fel arfer byddant yn cynnig diweddariadau neu'n rhyddhau polisïau newydd i roi ymateb penodol i fygythiadau neu ymosodiadau newydd. Fodd bynnag, mae'n bwysig bod gennych y gallu i greu eich polisïau eich hun os oes gennych fygythiad unigryw nad yw'r gwerthwr yn cyfrif amdano neu pan fo bygythiad newydd yn ffrwydro ac mae angen polisi arnoch i amddiffyn eich system cyn y mae gan werthwr amser i ryddhau diweddariad. Mae angen i chi sicrhau bod y cynnyrch a ddefnyddiwch, nid yn unig yn gallu i chi greu polisïau, ond bod y polisi hwn yn ddigon syml i chi ei deall heb wythnosau o hyfforddiant neu sgiliau rhaglennu arbenigol.
- Yn darparu Adroddiadau Canolog a Gweinyddu : Er ein bod yn sôn am ddiogelwch sy'n seiliedig ar y gwesteiwr ar gyfer gweinyddwyr unigol neu weithfannau, mae atebion HIPS a NIPS yn gymharol ddrud ac y tu allan i faes defnyddiwr cartref nodweddiadol. Felly, hyd yn oed wrth sôn am HIPS mae'n debyg y bydd angen i chi ei ystyried o safbwynt defnyddio HIPS o bosibl ar gannoedd o bwrdd gwaith a gweinyddwyr ar draws rhwydwaith. Er ei bod hi'n braf cael amddiffyniad ar lefel bwrdd gwaith unigol, gall gweinyddu cannoedd o systemau unigol, neu geisio creu adroddiad cyfunol, fod bron yn amhosibl heb swyddogaeth adrodd a gweinyddu canolog da. Wrth ddewis cynnyrch, sicrhewch fod ganddo adroddiadau a gweinyddiaeth ganolog i ganiatáu i chi ddefnyddio polisïau newydd i bob peiriant neu i greu adroddiadau o bob peiriant o un lleoliad.
Mae ychydig o bethau eraill y mae angen i chi eu cadw mewn cof. Yn gyntaf, nid HIPS a NIPS yw "bwled arian" ar gyfer diogelwch. Gallant fod yn ychwanegiad gwych i amddiffyniad haen, haenog, gan gynnwys waliau tân a chymwysiadau antivirus ymhlith pethau eraill, ond ni ddylent geisio disodli'r technolegau presennol.
Yn ail, gall gweithredu cychwynnol ateb HIPS fod yn anodd. Mae ffurfweddu canfod yr anghysondeb yn aml yn gofyn am lawer iawn o "ddaliad llaw" i helpu'r cais i ddeall beth yw traffig "normal" a beth sydd ddim. Efallai y byddwch chi'n profi nifer o bethau cadarnhaol neu negatifau a gollwyd wrth i chi weithio i sefydlu gwaelodlin yr hyn sy'n diffinio traffig "arferol" ar gyfer eich peiriant.
Yn olaf, mae cwmnïau yn gyffredinol yn gwneud pryniannau yn seiliedig ar yr hyn y gallant ei wneud ar gyfer y cwmni. Mae arfer cyfrifyddu safonol yn awgrymu y mesurir hyn yn seiliedig ar y dychweliad ar fuddsoddiad, neu ROI. Mae cyfrifwyr eisiau deall a ydynt yn buddsoddi swm o arian mewn cynnyrch neu dechnoleg newydd, pa mor hir y bydd yn ei gymryd i'r cynnyrch neu'r dechnoleg dalu amdano'i hun.
Yn anffodus, nid yw cynhyrchion diogelwch rhwydwaith a chyfrifiaduron yn ffitio'r llwydni hwn yn gyffredinol. Mae diogelwch yn gweithio ar fwy o ROI wrth gefn. Os yw'r cynnyrch neu dechnoleg diogelwch yn gweithio fel y dyluniwyd, bydd y rhwydwaith yn parhau'n ddiogel- ond ni fydd unrhyw "elw" i fesur ROI o. Mae'n rhaid ichi edrych ar y cefn er ac ystyried faint y gallai'r cwmni ei golli pe na bai'r cynnyrch neu'r dechnoleg ar waith. Faint o arian y byddai'n rhaid ei wario ar ailadeiladu gweinyddwyr, adfer data, amser ac adnoddau ymroddi personél technegol i lanhau ar ôl ymosodiad, ac ati? Os nad yw cael y cynnyrch efallai y gallai arwain at golli llawer mwy o arian na'r costau cynnyrch neu dechnoleg i'w gweithredu, efallai ei bod yn gwneud synnwyr i wneud hynny.