Coisas para procurar na prevenção de intrusões baseada em host

Código de Transito Brasileiro Completo (Abril 2025)

Código de Transito Brasileiro Completo (Abril 2025)
Anonim

A segurança em camadas é um princípio amplamente aceito de segurança de computadores e redes (consulte Segurança em profundidade). A premissa básica é que são necessárias várias camadas de defesa para proteger contra a ampla variedade de ataques e ameaças. Não só um produto ou técnica pode não proteger contra todas as possíveis ameaças, exigindo, portanto, produtos diferentes para ameaças diferentes, mas com várias linhas de defesa, esperamos que um produto capture coisas que possam ter passado pelas defesas externas.

Há uma abundância de aplicativos e dispositivos que você pode usar para as diferentes camadas de software antivírus, firewalls, IDS (Intrusion Detection Systems) e muito mais. Cada um tem uma função ligeiramente diferente e protege de um conjunto diferente de ataques de uma maneira diferente.

Uma das tecnologias mais recentes é o IPS - Sistema de Prevenção de Intrusões. Um IPS é um pouco como combinar um IDS com um firewall. Um IDS típico registra ou alerta você para tráfego suspeito, mas a resposta é deixada para você. Um IPS tem políticas e regras que comparam o tráfego de rede. Se algum tráfego viola as políticas e regras, o IPS pode ser configurado para responder, em vez de simplesmente alertá-lo. As respostas típicas podem ser bloquear todo o tráfego do endereço IP de origem ou bloquear o tráfego de entrada nessa porta para proteger proativamente o computador ou a rede.

Existem sistemas de prevenção de intrusões baseados em rede (NIPS) e há sistemas de prevenção contra invasões baseados em host (HIPS). Embora possa ser mais caro implementar o HIPS, especialmente em um ambiente corporativo grande, eu recomendo a segurança baseada no host sempre que possível. Interromper intrusões e infecções no nível da estação de trabalho individual pode ser muito mais eficaz no bloqueio ou, pelo menos, na contenção de ameaças. Com isso em mente, aqui está uma lista de coisas para procurar em uma solução HIPS para sua rede:

  • Não confia em assinaturas: Assinaturas - ou características únicas de ameaças conhecidas - são um dos principais meios utilizados por softwares como antivírus e detecção de intrusões (IDS). A queda de assinaturas é que elas são reativas. Uma assinatura não pode ser desenvolvida até que uma ameaça exista e você possa ser atacado antes que a assinatura seja criada. Sua solução HIPS deve usar a detecção baseada em assinatura junto com a detecção baseada em anomalia, que estabelece uma linha de base com a atividade de rede "normal" em sua máquina e responderá a qualquer tráfego que pareça incomum. Por exemplo, se o seu computador nunca usa FTP e, de repente, alguma ameaça tenta abrir uma conexão FTP de seu computador, o HIPS detectaria isso como uma atividade anômala.
  • Funciona com sua configuração: Algumas soluções de HIPS podem ser restritivas em termos de quais programas ou processos eles podem monitorar e proteger. Você deve tentar encontrar um HIPS que seja capaz de lidar com pacotes comerciais de prateleira, bem como quaisquer aplicativos personalizados feitos em casa que você possa estar usando. Se você não usa aplicativos personalizados ou não considera este um problema significativo para o seu ambiente, pelo menos, garantir que sua solução HIPS protege os programas e processos que você Faz corre.
  • Permite que você crie políticasA maioria das soluções HIPS vem com um conjunto bastante abrangente de políticas pré-definidas e os fornecedores normalmente oferecem atualizações ou lançam novas políticas para fornecer uma resposta específica para novas ameaças ou ataques. No entanto, é importante que você tenha a capacidade de criar suas próprias políticas no caso de ter uma ameaça exclusiva que o fornecedor não contabiliza ou quando uma nova ameaça está explodindo e você precisa de uma política para defender seu sistema antes do início da ameaça. o fornecedor tem tempo para liberar uma atualização. Você precisa garantir que o produto que você usa não apenas tenha a capacidade de criar políticas, mas que a criação de políticas seja simples o suficiente para você entender sem semanas de treinamento ou habilidades de programação de especialistas.
  • Fornece Relatórios e Administração CentraisEmbora falemos de proteção baseada em host para servidores ou estações de trabalho individuais, as soluções HIPS e NIPS são relativamente caras e estão fora do âmbito de um usuário doméstico típico. Portanto, mesmo quando se fala em HIPS, você provavelmente precisará considerá-lo do ponto de vista da implantação do HIPS em possivelmente centenas de desktops e servidores em uma rede. Embora seja bom ter proteção no nível de desktop individual, administrar centenas de sistemas individuais ou tentar criar um relatório consolidado pode ser quase impossível sem uma boa função central de geração de relatórios e administração. Ao selecionar um produto, certifique-se de que ele tenha relatórios e administração centralizados para permitir que você implante novas políticas em todas as máquinas ou crie relatórios de todas as máquinas a partir de um único local.

Existem algumas outras coisas que você precisa ter em mente. Primeiro, o HIPS e o NIPS não são uma "bala de prata" para segurança. Eles podem ser um ótimo complemento para uma sólida defesa em camadas, incluindo firewalls e aplicativos antivírus, entre outras coisas, mas não devem tentar substituir as tecnologias existentes.

Em segundo lugar, a implementação inicial de uma solução HIPS pode ser meticulosa. A configuração da detecção baseada em anomalia geralmente requer uma boa dose de "controle manual" para ajudar o aplicativo a entender o que é tráfego "normal" e o que não é. Você pode experimentar vários falsos positivos ou negativos perdidos enquanto trabalha para estabelecer a linha de base do que define tráfego "normal" para sua máquina.

Por último, as empresas geralmente fazem compras com base no que podem fazer pela empresa. A prática contábil padrão sugere que isso seja medido com base no retorno sobre o investimento, ou ROI.Os contadores querem entender se investem uma quantia em dinheiro em um novo produto ou tecnologia, quanto tempo levará para que o produto ou a tecnologia se pague.

Infelizmente, os produtos de segurança de redes e computadores geralmente não se encaixam nesse padrão. A segurança funciona em mais de um ROI reverso. Se o produto ou a tecnologia de segurança funcionar como projetado, a rede permanecerá segura, mas não haverá "lucro" para medir um ROI. Você tem que olhar o inverso e considerar o quanto a empresa pode perder se o produto ou a tecnologia não estiverem no lugar. Quanto dinheiro teria que ser gasto na reconstrução de servidores, na recuperação de dados, no tempo e nos recursos de dedicação de pessoal técnico para limpar após um ataque, etc? Se não possuir o produto pode potencialmente resultar na perda de muito mais dinheiro do que o custo do produto ou da tecnologia para implementar, então talvez faça sentido fazê-lo.

Noções básicas sobre atualizações automáticas e opções de atualização do Windows 7

Noções básicas sobre atualizações automáticas e opções de atualização do Windows 7

O software que está desatualizado pode ser inseguro, não confiável ou ambos. Saiba como manter seu computador com Windows 7 seguro e atualizado com as Atualizações Automáticas.

Software gratuito de detecção e prevenção de intrusões

Software gratuito de detecção e prevenção de intrusões

O software gratuito de detecção de intrusão (IDS) e prevenção (IPS) ajuda você a identificar e responder a atividades suspeitas em sua rede.

Introdução aos Sistemas de Detecção de Intrusão (IDS)

Introdução aos Sistemas de Detecção de Intrusão (IDS)

Este artigo apresenta os conceitos de Sistemas de Detecção de Intrusões (IDS), como eles funcionam, o que eles monitoram e o que os resultados significam.

Escolha Do Editor