Coses a buscar en aquesta última línia de defensa
La seguretat en capes és un principi àmpliament acceptat de seguretat informàtica i de xarxa (vegeu Seguretat en profunditat). La premissa bàsica és que es necessiten múltiples capes de defensa per protegir contra la gran varietat d'atacs i amenaces. No només un producte o tècnica no pot protegir-se de totes les amenaces possibles, per tant, requereixen diferents productes per a diferents amenaces, però amb múltiples línies de defensa esperem que un producte pugui atrapar coses que puguin haver passat per les defenses externes.
Hi ha moltes aplicacions i dispositius que podeu utilitzar per a les diferents capes: programari antivirus, tallafocs, IDS (sistemes de detecció d'intrusos) i molt més. Cadascun té una funció una mica diferent i protegeix d'un conjunt diferent d'atacs d'una manera diferent.
Una de les tecnologies més noves és el sistema de prevenció d'intrusos IPS. Un IPS és una cosa semblant a la combinació d'un IDS amb un tallafocs. Un IDS típic us registrarà o us avisarà de trànsit sospitós, però la resposta us queda. Un IPS té polítiques i regles que compara el trànsit de la xarxa. Si qualsevol trànsit viola les polítiques i les regles, l'IPS es pot configurar per respondre en lloc de simplement avisar-vos. Les respostes típiques poden ser bloquejar tot el trànsit des de l'adreça IP d'origen o bloquejar el trànsit entrant en aquest port per protegir de forma proactiva l'ordinador o la xarxa.
Hi ha sistemes de prevenció d'intrusió basats en xarxa (NIPS) i hi ha sistemes de prevenció d'intrusions basats en host (HIPS). Tot i que pot ser més costós implementar HIPS, especialment en un entorn empresarial gran, recomano la seguretat basada en host, sempre que sigui possible. Aturar intrusions i infeccions al nivell de l'estació de treball individual pot ser molt més eficaç en bloquejar o, almenys, contenir amenaces. Amb això en ment, aquí teniu una llista de coses a buscar en una solució HIPS per a la vostra xarxa:
- No confia en signatures : les signatures o característiques úniques d'amenaces conegudes són un dels principals mitjans utilitzats pel programari com antivirus i detecció d'intrusions (IDS). La caiguda de les signatures és que són reactives. No es pot desenvolupar una signatura fins que es produeixi una amenaça i es pugui atacar abans de crear la signatura. La vostra solució HIPS hauria d'utilitzar la detecció basada en la signatura, juntament amb la detecció basada en anomalies, que estableix una base de referència de l'activitat de xarxa "normal" que apareix a la vostra màquina i respondrà a qualsevol trànsit que sembli inusual. Per exemple, si el vostre ordinador mai no utilitza FTP i de sobte alguna amenaça intenta obrir una connexió FTP des del vostre ordinador, HIPS detectaria això com una activitat anòmala.
- Funciona amb la vostra configuració : algunes solucions HIPS poden ser restrictives pel que fa a programes o processos que poden controlar i protegir. Heu d'intentar trobar un HIPS que sigui capaç de manipular els paquets comercials fora del prestatge, així com qualsevol aplicació personalitzada casolana que estigui utilitzant. Si no feu servir aplicacions personalitzades o no consideri que això sigui un problema important per al vostre entorn, almenys assegureu-vos que la vostra solució HIPS protegeixi els programes i processos que executeu.
- Permet crear polítiques : la majoria de les solucions HIPS vénen amb un conjunt bastant complet de polítiques predefinides i els proveïdors solen oferir actualitzacions o publicar polítiques noves per proporcionar una resposta específica per a noves amenaces o atacs. Tanmateix, és important que tingueu la possibilitat de crear les vostres pròpies polítiques en el cas que tingueu una amenaça única que el proveïdor no tingui en compte ni quan s'estigui explotant una nova amenaça i necessiteu una política per defensar el sistema abans de el proveïdor té temps per publicar una actualització. Cal assegurar-se que el producte que utilitzeu no només té la capacitat de crear polítiques, però la creació d'aquesta política és prou senzilla perquè pugueu comprendre sense haver-hi una setmana d'entrenament o d'habilitats de programació expert.
- Proporciona informes i administració centrals : mentre estem parlant de la protecció basada en host per a servidors o estacions de treball individuals, les solucions HIPS i NIPS són relativament cares i fora de l'àmbit d'un usuari domèstic típic. Així que, fins i tot quan parlem d'HIPS, probablement hauríeu de considerar-ho des del punt de vista d'implementar HIPS sobre possibles centenars d'escriptoris i servidors a través d'una xarxa. Si bé és bo tenir protecció a nivell d'escriptori individual, administrar centenars de sistemes individuals o intentar crear un informe consolidat pot ser gairebé impossible sense una bona funció d'informe i administració central. Quan seleccioneu un producte, assegureu-vos que hi hagi informes i administració centralitzats que us permetran implementar polítiques noves a totes les màquines o crear informes de totes les màquines d'una ubicació.
Hi ha altres coses que cal tenir en compte. En primer lloc, HIPS i NIPS no són una "bala de plata" per a la seguretat. Poden ser una gran addició a una defensa sòlida i en capes que inclou tallafocs i aplicacions antivirus, entre altres coses, però no hauria d'intentar reemplaçar les tecnologies existents.
En segon lloc, la implementació inicial d'una solució HIPS pot ser acuciante. La configuració de la detecció basada en anomalies sovint requereix una bona quantitat de "mà" per ajudar a que l'aplicació entengui el trànsit "normal" i el que no. Pot experimentar una sèrie de falsos positius o negatius perduts mentre treballa per establir la línia de base del que defineix el trànsit "normal" per a la vostra màquina.
Finalment, les empreses generalment fan compres basades en el que poden fer per a l'empresa. Les pràctiques comptables estàndard suggereixen que es mesura segons el retorn de la inversió o el ROI. Els comptadors volen comprendre si inverteixen una suma de diners en un nou producte o tecnologia, quant de temps trigarà el producte o la tecnologia a pagar per si mateix.
Malauradament, els productes de seguretat informàtica i de xarxa no solen adaptar-se a aquest motlle. La seguretat funciona en més d'un ROI invers. Si el producte o la tecnologia de seguretat funciona tal com s'ha dissenyat, la xarxa romandrà segura, però no hi haurà cap "benefici" per mesurar un ROI. Tanmateix, cal tenir en compte el contrari i considerar quant podria perdre l'empresa si el producte o la tecnologia no estaven al seu lloc. Quants diners haurien de gastar en la reconstrucció de servidors, la recuperació de dades, el temps i els recursos de dedicar personal tècnic a netejar després d'un atac, etc.? Si no tenir el producte pot arribar a perdre significativament més diners que el producte o els costos tecnològics a implementar, potser tingui sentit fer-ho.