分层安全性是一种被广泛接受的计算机和网络安全原则(参见In Depth Security)。基本前提是需要多层防御来抵御各种各样的攻击和威胁。一种产品或技术不仅无法抵御所有可能的威胁,因此需要不同的产品来应对不同的威胁,但是拥有多条防线可能会让一种产品能够捕获可能已经超越外部防御的东西。
您可以使用大量应用程序和设备用于不同的层 - 防病毒软件,防火墙,IDS(入侵检测系统)等。每个功能都略有不同,并以不同的方式保护不同的攻击。
IPS-入侵防御系统是一种较新的技术。 IPS有点像将IDS与防火墙结合在一起。典型的IDS会记录或提醒您可疑流量,但响应留给您。 IPS具有将网络流量与之进行比较的策略和规则。如果任何流量违反了策略和规则,则可以将IPS配置为响应而不是简单地提醒您。典型的响应可能是阻止来自源IP地址的所有流量或阻止该端口上的传入流量以主动保护计算机或网络。
有基于网络的入侵防御系统(NIPS)和基于主机的入侵防御系统(HIPS)。虽然实施HIPS可能更昂贵 - 尤其是在大型企业环境中,但我建议尽可能使用基于主机的安全性。在单个工作站级别停止入侵和感染可以更有效地阻止或至少包含威胁。考虑到这一点,以下列出了适用于您的网络的HIPS解决方案:
- 不依赖签名:已知威胁的签名或独特特征 - 是防病毒和入侵检测(IDS)等软件使用的主要手段之一。签名的垮台是它们是被动的。在威胁存在之后才能开发签名,并且在创建签名之前可能会受到攻击。您的HIPS解决方案应该使用基于签名的检测以及基于异常的检测,该检测可以建立计算机上“正常”网络活动的基线,并响应任何看似异常的流量。例如,如果您的计算机从不使用FTP,并且突然某些威胁尝试从您的计算机打开FTP连接,则HIPS会将此检测为异常活动。
- 适用于您的配置:某些HIPS解决方案可能会限制他们能够监控和保护的程序或流程。您应该尝试找到能够处理现成商业软件包的HIPS以及您可能正在使用的任何自行开发的自定义应用程序。如果您不使用自定义应用程序或不认为这是您的环境的重大问题,至少要确保您的HIPS解决方案保护程序并处理您 做 跑。
- 允许您创建策略:大多数HIPS解决方案都附带了一套非常全面的预定义策略,供应商通常会提供更新或发布新策略,以针对新威胁或攻击提供特定响应。但是,如果您有一个供应商未考虑的独特威胁,或者新威胁爆炸并且您需要一个策略来保护您的系统,那么您必须能够创建自己的策略。供应商有时间发布更新。您需要确保您使用的产品不仅能够创建策略,而且创建策略非常简单,无需数周的培训或专业编程技能即可理解。
- 提供中央报告和管理:虽然我们谈论的是针对单个服务器或工作站的基于主机的保护,但HIPS和NIPS解决方案相对昂贵且超出了典型家庭用户的范围。因此,即使在谈论HIPS时,您可能需要从在网络上可能数百个桌面和服务器上部署HIPS的角度来考虑它。虽然在单个桌面级别获得保护是件好事,但如果没有良好的中央报告和管理功能,管理数百个单独的系统或尝试创建合并报告几乎是不可能的。选择产品时,请确保它具有集中报告和管理功能,以允许您将新策略部署到所有计算机或从一个位置创建来自所有计算机的报告。
您还需要记住一些其他事项。首先,HIPS和NIPS不是安全的“银弹”。它们可以成为一个可靠的分层防御的重要补充,包括防火墙和防病毒应用程序等,但不应该尝试替换现有技术。
其次,HIPS解决方案的初始实施可能是艰苦的。配置基于异常的检测通常需要大量的“手持”来帮助应用程序理解什么是“正常”流量和什么不是。当您努力建立定义机器“正常”流量的基线时,您可能会遇到许多误报或漏报。
最后,公司通常根据他们为公司所做的事情进行购买。标准会计实践表明,这是根据投资回报率或投资回报率来衡量的。会计师想要了解他们是否在新产品或技术上投入了大量资金,产品或技术需要多长时间才能收回成本。
遗憾的是,网络和计算机安全产品通常不适合这种模具。安全性更多地反向ROI。如果安全产品或技术按设计工作,网络将保持安全 - 但是没有“利润”来衡量ROI。你必须反过来考虑一下如果产品或技术不到位,公司可能损失多少。在重建服务器,恢复数据,专门技术人员在攻击后清理的时间和资源等方面需要花多少钱?如果没有产品可能会导致比实施的产品或技术成本损失更多的钱,那么这样做也许是有道理的。
