この最終防衛線で探すべきこと
階層化されたセキュリティは、コンピュータおよびネットワークセキュリティの広範に受け入れられている原則です(詳細は、「セキュリティ」を参照)。 基本的な前提は、さまざまな攻撃や脅威から保護するために、複数の防衛層を必要とすることです。 1つの製品や技術があらゆる可能性のある脅威から保護できないため、異なる脅威に対して異なる製品を必要とするだけでなく、複数の防衛線を持つことで、1つの製品が外部防御を過ぎた可能性のあるものを捕まえることができます。
アンチウィルスソフトウェア、ファイアウォール、IDS(侵入検知システム)など、さまざまなレイヤーに使用できるアプリケーションとデバイスがたくさんあります。 それぞれにはわずかに異なる機能があり、異なる攻撃セットを異なる方法で保護します。
新しいテクノロジーの1つがIPS侵入防止システムです。 IPSは、IDSとファイアウォールを組み合わせたものに似ています。 典型的なIDSは疑わしいトラフィックを記録または警告しますが、応答はあなたに任せられます。 IPSには、ネットワークトラフィックを比較するためのポリシーとルールがあります。 トラフィックがポリシーとルールに違反した場合、IPSは単純にアラートするのではなく応答するように設定できます。 典型的な応答は、送信元IPアドレスからのすべてのトラフィックをブロックするか、またはそのポート上の着信トラフィックをブロックして、コンピュータまたはネットワークを積極的に保護することです。
ネットワークベースの侵入防止システム(NIPS)があり、ホストベースの侵入防止システム(HIPS)があります。 特に大規模な企業環境でHIPSを実装する方がコストがかかる可能性がありますが、可能な限りホストベースのセキュリティを推奨します。 個々のワークステーションレベルでの侵入や感染を阻止することは、脅威を阻止するか、少なくとも含むことではるかに効果的です。 これを念頭に置いて、ネットワーク用のHIPSソリューションで探すべきもののリストを以下に示します。
- シグネチャに依存しない :既知の脅威のシグネチャまたは固有の特性は、アンチウイルスや侵入検知(IDS)などのソフトウェアで使用される主な手段の1つです。シグネチャの崩壊は反応するということです。 脅威が発生するまで署名を作成することはできず、署名が作成される前に攻撃される可能性があります。 HIPSソリューションでは、シグネチャベースの検出と、「通常の」ネットワークアクティビティがマシン上でどのように見えるかのベースラインを確立し、異常に見えるトラフィックに応答する異常ベースの検出を使用する必要があります。 たとえば、コンピュータがFTPを使用することはなく、突然何らかの脅威がコンピュータからFTP接続を開こうとすると、HIPSはこれを異常な動作として検出します。
- あなたの設定で動作する :いくつかのHIPSソリューションは、どのようなプログラムやプロセスを監視して保護できるかという点で制限的かもしれません。 あなたは、あなたが使用している可能性のある家庭で作られたカスタムアプリケーションだけでなく、市販のパッケージを扱うことができるHIPSを見つけようとするべきです。 カスタムアプリケーションを使用しない場合、またはこれをご使用の環境にとって重大な問題とはみなさない場合は、少なくともHIPSソリューションが実行するプログラムとプロセスを保護することを確認してください。
- ポリシーを作成することができます :ほとんどのHIPSソリューションには、かなり包括的な事前定義されたポリシーが用意されています。ベンダーは、通常、新しい脅威や攻撃に対して特定の応答を提供するために、 ただし、ベンダーが考慮していないユニークな脅威や新しい脅威が爆発的に発生した場合に、独自のポリシーを作成する能力があることが重要です。ベンダーはアップデートをリリースする時間があります。 あなたが使用する製品がポリシーを作成する能力を持っているだけでなく、数週間のトレーニングや専門的なプログラミングスキルがなくてもポリシー作成が簡単に理解できることを確認する必要があります。
- 中央のレポートと管理の提供 :個々のサーバーやワークステーションに対するホストベースの保護について言及していますが、HIPSとNIPSソリューションは比較的高価で、一般的な在宅ユーザーの領域外です。 だから、たとえHIPSについて話しているとしても、ネットワーク上の何百ものデスクトップやサーバにHIPSを配備するという観点から考える必要があるでしょう。 個々のデスクトップレベルで保護するのは良いことですが、何百もの個々のシステムを管理したり、統合されたレポートを作成しようとすることは、優れた中央報告と管理機能がなければ、ほとんど不可能になります。 製品を選択するときは、すべてのマシンに新しいポリシーを展開したり、すべてのマシンから1か所のレポートを作成したりできるように、レポートと管理を集中管理する必要があります。
あなたが覚えておく必要があるいくつかのことがあります。 第一に、HIPSとNIPSはセキュリティのための「銀色の弾丸」ではありません。 ファイアウォールやアンチウィルスアプリケーションを含む強固なレイヤードディフェンスにも大きな効果をもたらしますが、既存のテクノロジを置き換えるべきではありません。
第二に、HIPSソリューションの初期実装は苦労する可能性があります。 異常に基づく検出を設定するには、アプリケーションが「正常」なトラフィックとそうでないものを理解するために、しばしば「手持ち」が必要です。 マシンの「通常の」トラフィックを定義するベースラインを確立しようとしている間に、多数の誤検出やネガティブな欠点が発生する可能性があります。
最後に、企業は一般的に会社のためにできることに基づいて購入を行います。 標準的な会計慣行は、これが投資収益率(ROI)に基づいて測定されることを示唆しています。 会計士は、新しい製品や技術に総額を投資するかどうか、製品や技術がどれだけの費用を支払うかについて理解したいと考えています。
残念なことに、ネットワークとコンピュータのセキュリティ製品は、一般的にこの型に適合しません。 セキュリティは、逆ROIの多くで機能します。 セキュリティ製品または技術が設計どおりに機能する場合、ネットワークは安全のままですが、ROIを測定する「利益」はありません。 あなたは逆を見なければならず、製品または技術が適切でない場合、会社がどれだけ失う可能性があるかを考慮する必要があります。 サーバーの再構築、データの復旧、攻撃後にクリーンアップする技術者の献身的な時間とリソースなどにどれくらいの金額を費やす必要がありますか? 製品を持っていないと、実装する製品や技術のコストよりも大幅に多くの金額を失う可能性があります。