Cosas que buscar en la prevención de intrusiones basada en host

Constituição Federal Completa e Atualizada (Abril 2025)

Constituição Federal Completa e Atualizada (Abril 2025)
Anonim

La seguridad en capas es un principio ampliamente aceptado de la seguridad de la computadora y la red (consulte Seguridad en profundidad). La premisa básica es que se necesitan varias capas de defensa para protegerse contra la gran variedad de ataques y amenazas. Un producto o técnica no solo no puede proteger contra todas las amenazas posibles, por lo tanto, requiere diferentes productos para diferentes amenazas, sino que tener múltiples líneas de defensa, con suerte, permitirá que un producto atrape cosas que pueden haber pasado las defensas externas.

Hay muchas aplicaciones y dispositivos que puede usar para las diferentes capas: software antivirus, cortafuegos, IDS (Sistemas de detección de intrusos) y más. Cada uno tiene una función ligeramente diferente y protege de un conjunto diferente de ataques de una manera diferente.

Una de las tecnologías más nuevas es el IPS-Intrusion Prevention System. Un IPS es algo así como combinar un IDS con un firewall. Un IDS típico iniciará sesión o lo alertará sobre tráfico sospechoso, pero la respuesta es para usted. Un IPS tiene políticas y reglas con las que compara el tráfico de red. Si cualquier tráfico viola las políticas y reglas, el IPS puede configurarse para responder en lugar de simplemente alertarlo. Las respuestas típicas podrían ser bloquear todo el tráfico de la dirección IP de origen o bloquear el tráfico entrante en ese puerto para proteger proactivamente la computadora o la red.

Hay sistemas de prevención de intrusos basados ​​en la red (NIPS) y sistemas de prevención de intrusos basados ​​en la red (HIPS). Si bien puede ser más costoso implementar HIPS, especialmente en un gran entorno empresarial, recomiendo la seguridad basada en host siempre que sea posible. Detener las intrusiones e infecciones en el nivel de la estación de trabajo individual puede ser mucho más efectivo para bloquear, o al menos contener, las amenazas. Con eso en mente, aquí hay una lista de cosas que debe buscar en una solución HIPS para su red:

  • No confía en las firmas: Las firmas, o las características únicas de las amenazas conocidas, son uno de los principales medios utilizados por software como antivirus y detección de intrusos (IDS). La caída de las firmas es que son reactivas. No se puede desarrollar una firma hasta después de que exista una amenaza y usted podría ser atacado antes de que se cree la firma. Su solución HIPS debe utilizar la detección basada en firmas junto con la detección basada en anomalías que establece una línea de base de cómo se ve la actividad "normal" de la red en su máquina y responderá a cualquier tráfico que parezca inusual. Por ejemplo, si su computadora nunca usa FTP y de repente alguna amenaza intenta abrir una conexión FTP desde su computadora, el HIPS detectará esto como una actividad anómala.
  • Funciona con su configuración: Algunas soluciones HIPS pueden ser restrictivas en cuanto a qué programas o procesos pueden monitorear y proteger. Debe intentar encontrar un HIPS que sea capaz de manejar paquetes comerciales listos para usar, así como cualquier aplicación personalizada de cosecha propia que pueda estar usando. Si no usa aplicaciones personalizadas o no considera que este sea un problema importante para su entorno, al menos asegúrese de que su solución HIPS proteja los programas y lo procese. hacer correr.
  • Le permite crear políticas: La mayoría de las soluciones HIPS vienen con un conjunto bastante completo de políticas predefinidas y los proveedores generalmente ofrecerán actualizaciones o lanzarán nuevas políticas para brindar una respuesta específica ante nuevas amenazas o ataques. Sin embargo, es importante que tenga la capacidad de crear sus propias políticas en caso de que tenga una amenaza única que el proveedor no tenga en cuenta o cuando esté explotando una nueva amenaza y necesite una política para defender su sistema antes de la El vendedor tiene tiempo para lanzar una actualización. Debe asegurarse de que el producto que utiliza no solo tenga la capacidad para crear políticas, sino que la creación de políticas sea lo suficientemente simple para que las entienda sin semanas de capacitación o conocimientos expertos en programación.
  • Proporciona informes centrales y administración: Si bien estamos hablando de protección basada en host para servidores o estaciones de trabajo individuales, las soluciones HIPS y NIPS son relativamente caras y están fuera del ámbito de un usuario doméstico típico. Por lo tanto, incluso cuando se habla de HIPS, probablemente deba considerarlo desde el punto de vista de la implementación de HIPS en posiblemente cientos de equipos de escritorio y servidores en una red. Si bien es bueno tener protección a nivel de escritorio individual, administrar cientos de sistemas individuales o intentar crear un informe consolidado puede ser casi imposible sin una buena función central de generación de informes y administración. Al seleccionar un producto, asegúrese de que tenga informes y administración centralizados para permitirle implementar nuevas políticas en todas las máquinas o crear informes desde todas las máquinas desde una ubicación.

Hay algunas otras cosas que debes tener en cuenta. Primero, HIPS y NIPS no son una "bala de plata" para la seguridad. Pueden ser una gran adición a una defensa sólida y en capas que incluye firewalls y aplicaciones antivirus, entre otras cosas, pero no deben intentar reemplazar las tecnologías existentes.

En segundo lugar, la implementación inicial de una solución HIPS puede ser laboriosa. La configuración de la detección basada en anomalías a menudo requiere una gran cantidad de "manipulación" para ayudar a la aplicación a comprender qué es el tráfico "normal" y qué no lo es. Puede experimentar una cantidad de falsos positivos o negativos perdidos mientras trabaja para establecer la línea de base de lo que define el tráfico "normal" para su máquina.

Por último, las empresas generalmente realizan compras basadas en lo que pueden hacer por la empresa. La práctica contable estándar sugiere que esto se mida en función del retorno de la inversión o ROI.Los contadores quieren saber si invierten una suma de dinero en un nuevo producto o tecnología, cuánto tiempo tomará para que el producto o la tecnología se pague por sí mismo.

Desafortunadamente, los productos de seguridad de redes y computadoras generalmente no encajan en este molde. La seguridad funciona en más de un ROI inverso. Si el producto o la tecnología de seguridad funciona según lo diseñado, la red seguirá siendo segura, pero no habrá "ganancias" para medir el ROI. Sin embargo, debe mirar el reverso y considerar cuánto podría perder la compañía si el producto o la tecnología no estuvieran en su lugar. ¿Cuánto dinero debería gastarse en la reconstrucción de servidores, la recuperación de datos, el tiempo y los recursos de dedicar personal técnico para limpiar después de un ataque, etc.? Si no tener el producto puede potencialmente perder mucho más dinero que el costo de implementación del producto o la tecnología, entonces tal vez tenga sentido hacerlo.

Cómo deshabilitar la prevención de ejecución de datos

Cómo deshabilitar la prevención de ejecución de datos

Deshabilitar la Prevención de ejecución de datos (DEP) para el proceso Explorer.exe a veces puede corregir ciertos mensajes de error y problemas del sistema.

Software gratuito de detección y prevención de intrusiones

Software gratuito de detección y prevención de intrusiones

El software gratuito de detección de intrusiones (IDS) y prevención (IPS) lo ayuda a identificar y responder a actividades sospechosas en su red.

5 cosas que debes aprender sobre ti antes de buscar trabajo y otras 11 cosas que debes saber

5 cosas que debes aprender sobre ti antes de buscar trabajo y otras 11 cosas que debes saber

Estamos sacando nuestro famoso boletín Best of the Web de nuestras bandejas de entrada y a la web, solo para usted.

La Elección Del Editor