پیشگیری از نفوذ مبتنی بر میزبان

چیزهایی که در این آخرین خط دفاع باید جستجو شوند

امنیت لایه ای یک اصل رایج در امنیت کامپیوتر و شبکه است (نگاه کنید به عمق امنیت). فرض اساسی این است که لایه های چندگانه دفاع را برای محافظت در برابر انواع مختلف حملات و تهدیدات می گیرد. نه تنها یک محصول یا تکنیک در برابر هر تهدید احتمالی محافظت نمی شود، بنابراین نیاز به محصولات مختلف برای تهدیدات مختلف است، اما با داشتن خطوط مختلف از دفاع، امیدواریم که یک محصول بتواند چیزهایی را که ممکن است از دفاع های بیرونی گذشته باشد، به دست آورد.

بسیاری از برنامه ها و دستگاه های شما برای لایه های مختلف - نرم افزار آنتی ویروس، فایروال، IDS (سیستم های تشخیص نفوذ) و موارد دیگر استفاده می کنند. هر کدام یک عملکرد کمی دارند و از یک مجموعه مختلف از حملات به شیوه ای متفاوت محافظت می کند.

یکی از فن آوری های جدیدتر سیستم پیشگیرانه نفوذ IPS است. یک IPS تا حدودی مانند ترکیب یک IDS با یک فایروال است. یک IDS معمولی شما را به ترافیک مشکوک وارد می کند یا به شما هشدار می دهد، اما پاسخ به شما داده می شود. IPS دارای سياست ها و قواعدی است که ترافيک شبکه را با آن مقایسه می کند. اگر هر ترافیک خطوط و مقررات را نقض می کند، IPS می تواند به جای اینکه به شما هشدار دهد، پاسخ دهد. پاسخ های معمول ممکن است برای جلوگیری از تمام ترافیک از آدرس IP منبع یا برای جلوگیری از ترافیک ورودی در آن پورت برای فعالانه محافظت از کامپیوتر یا شبکه.

سیستم های پیشگیری از نفوذ مبتنی بر شبکه (NIPS) وجود دارد و سیستم های پیشگیری از نفوذ مبتنی بر میزبان (HIPS) وجود دارد. در حالی که می توان HIPS را به خصوص در محدوده وسیعی از محیط کار اجرا کرد، من توصیه می کنم هر جا که امکان دارد، امنیت مبتنی بر میزبان باشد. توقف درگیری ها و عفونت ها در سطح ایستگاه کاری فرد می تواند در تهدید یا تهدید حداقل مسدود کننده موثر باشد. با در نظر گرفتن این موضوع، لیستی از مواردی که باید در یک راه حل HIPS برای شبکه خود جستجو کنید:

• آیا به امضا ها اعتماد ندارید: امضاها یا ویژگی های منحصر به فرد تهدیدات شناخته شده یکی از ابزارهای اصلی استفاده از نرم افزارهای ضدویروس و تشخیص نفوذ (IDS) هستند. سقوط امضاها این است که آنها واکنش پذیر هستند. یک امضا تا زمانی که یک تهدید وجود نداشته باشد نمی تواند توسعه یابد و شما قبل از امضای ایجاد شده می توانید به طور بالقوه حمله کنید. راه حل HIPS شما باید تشخیص مبتنی بر امضایت همراه با تشخیص مبتنی بر آنومالی باشد که پایه ای از فعالیت شبکه های عادی مانند دستگاه شما را ایجاد می کند و به هر ترافیکی که به نظر غیر معمولی است پاسخ می دهد. برای مثال، اگر رایانه شما هرگز از FTP استفاده نمی کند و ناگهان یک تهدید به تلاش برای باز کردن یک اتصال FTP از کامپیوتر شما، HIPS این را به عنوان فعالیت غیرمعمول تشخیص می دهد.
• با پیکربندی شما کار می کند : برخی از راه حل های HIPS ممکن است از نظر برنامه ها یا فرایندهایی که می توانند نظارت و محافظت کنند، محدود کننده باشند. شما باید سعی کنید یک HIPS را پیدا کنید که قادر به حمل بسته های تجاری از قفسه و همچنین هرگونه برنامه های سفارشی خانگی که ممکن است از آنها استفاده کنید. اگر از برنامه های سفارشی استفاده نکنید یا این مسئله را برای محیط محصوالت خود در نظر نگیرید، حداقل اطمینان حاصل کنید که راه حل HIPS خود برنامه ها و فرایندهایی را که اجرا می کنید محافظت می کند.

• به شما اجازه می دهد تا سیاست ها را ایجاد کنید : بیشتر راه حل های HIPS با یک مجموعه کاملا جامع از سیاست های از قبل تعریف شده ارائه می شوند و به طور معمول ارائه کنندگان به روز رسانی و یا انتشار سیاست های جدید برای ارائه پاسخ خاص برای تهدیدات و حملات جدید می پردازند. با این حال، مهم است که شما توانایی ایجاد سیاست های خود را در صورت تهدید منحصر به فردی که فروشنده برای حساب و یا هنگامی که یک تهدید جدید منفجر می شود و شما نیاز به یک سیاست دفاع از سیستم خود را قبل از فروشنده زمان به روز رسانی را منتشر می کند. شما باید اطمینان حاصل کنید که محصول مورد استفاده شما نه تنها توانایی شما برای ایجاد سیاست ها را دارد، بلکه ایجاد این سیاست به اندازه کافی ساده است تا بتوانید بدون هفته ها آموزش یا مهارت های برنامه نویسی کارشناسان را درک کنید.
• ارائه گزارش مرکزی و مدیریت : در حالی که ما در مورد حفاظت مبتنی بر میزبان برای سرورهای شخصی و یا ایستگاه های کاری صحبت می کنیم، راه حل های HIPS و NIPS نسبتا گران هستند و در خارج از حوزه یک کاربر معمولی خانه هستند. بنابراین، حتی هنگام صحبت کردن در مورد HIPS شما احتمالا باید آن را از نظر گسترش HIPS در احتمالا صدها دسکتاپ و سرور در سراسر شبکه در نظر بگیرند. در حالی که حفاظت در سطح دسکتاپ شخصی بسیار خوب است، اداره صدها نفر از سیستم های فردی و یا تلاش برای ایجاد گزارش یکپارچه می تواند تقریبا غیرممکن باشد بدون گزارش مرکزی و مدیریت عملکرد. هنگام انتخاب یک محصول اطمینان حاصل کنید که گزارش و مدیریت متمرکز شده است که به شما اجازه می دهد سیاست های جدید را به همه ماشین ها اعمال کنید یا از همه ی ماشین ها از یک مکان گزارش دهید.

چند چیز دیگر نیاز دارید که در ذهن داشته باشید. اول، HIPS و NIPS یک "گلوله نقره ای" برای امنیت نیستند. علاوه بر موارد دیگر، آنها می توانند علاوه بر دفاع جامد و لایه ای از جمله فایروال ها و برنامه های ضد ویروس نیز باشند، اما نباید سعی کرد جایگزین فناوری های موجود شوند.

در مرحله دوم، اجرای اولیه یک راه حل HIPS می تواند دشوار باشد. پیکربندی تشخیص مبتنی بر انحراف اغلب نیاز به یک معامله خوب "دست نگه داشتن" برای کمک به برنامه درک آنچه که "عادی" ترافیک و چه چیزی نیست. شما ممکن است تعدادی از مثبت کاذب و یا منفی های از دست رفته در حالی که شما برای ایجاد پایه آنچه که ترافیک "عادی" برای دستگاه شما را تعیین می کنند.

در نهایت شرکت ها بر اساس آنچه که می توانند برای این شرکت انجام دهند، معمولا خرید می کنند. عمل حسابداری استاندارد نشان می دهد که این بر اساس بازده سرمایه گذاری یا ROI اندازه گیری می شود. حسابداران می خواهند بدانند که اگر آنها یک مقدار پول را در یک محصول یا تکنولوژی جدید سرمایه گذاری کنند، چه مدت برای محصول یا تکنولوژی برای خود هزینه می کنند.

متأسفانه، محصولات امنیتی شبکه و رایانه به طور کلی این قالب را نداشتند. امنیت بیشتر بر روی ROI معکوس کار می کند. اگر محصول یا فن آوری امنیتی کار می کند به عنوان طراحی طراحی شده شبکه امن باقی می ماند اما هیچ سود "برای اندازه گیری ROI از آن وجود نخواهد داشت. اگرچه محصول یا فن آوری در جای خود قرار نگرفته است، باید به معکوس نگاه کنید. چه مقدار پول باید برای بازسازی سرورها، بازیابی اطلاعات، زمان و منابع اختصاص داده شده به پرسنل فنی برای پاکسازی پس از حمله، و غیره صرف شود؟ اگر عدم داشتن محصول ممکن است به طور بالقوه منجر به از دست دادن مقدار قابل توجهی بیشتر از هزینه های محصول یا فن آوری برای پیاده سازی، پس شاید این منطقی است که انجام دهید.