이 마지막 방어선에서 찾아야 할 것들
계층 적 보안은 컴퓨터 및 네트워크 보안의 널리 수용되는 원칙입니다 (심층 보안 참조). 기본적인 전제는 다양한 공격과 위협으로부터 보호하기 위해 여러 방어 계층을 필요로한다는 것입니다. 하나의 제품이나 기술로 모든 가능한 위협으로부터 보호 할 수있을뿐만 아니라 다양한 위협에 대해 서로 다른 제품을 요구할 수있을뿐만 아니라 여러 방어선을 통해 하나의 제품이 외부 방어 장치를 통과했을 가능성이있는 제품을 잡을 수 있습니다.
바이러스 백신 소프트웨어, 방화벽, IDS (침입 탐지 시스템) 등 다양한 계층에 사용할 수있는 응용 프로그램과 장치가 많이 있습니다. 각각은 약간 다른 기능을 가지고 있으며 다른 방식으로 다른 공격 집합으로부터 보호합니다.
새로운 기술 중 하나는 IPS- 침입 방지 시스템입니다. IPS는 IDS와 방화벽을 결합하는 것과 같습니다. 일반적인 IDS는 의심스러운 트래픽을 기록하거나 경고하지만 응답은 사용자에게 남습니다. IPS에는 네트워크 트래픽을 비교하는 정책과 규칙이 있습니다. 트래픽이 정책과 규칙을 위반하는 경우 IPS는 단순히 사용자에게 경고하지 않고 응답하도록 구성 할 수 있습니다. 일반적인 응답은 원본 IP 주소의 모든 트래픽을 차단하거나 해당 포트에서 들어오는 트래픽을 차단하여 컴퓨터 또는 네트워크를 사전에 보호하는 것입니다.
네트워크 기반 침입 방지 시스템 (NIPS)이 있으며 호스트 기반 침입 방지 시스템 (HIPS)이 있습니다. 특히 대규모 엔터프라이즈 환경에서 HIPS를 구현하는 것이 비용이 많이 들지만 가능한 한 호스트 기반 보안을 권장합니다. 개별 워크 스테이션 수준에서 침입과 감염을 막는 것은 위협을 차단하거나 적어도 포함하는 데 훨씬 더 효과적 일 수 있습니다. 이를 염두에두고 다음은 네트워크 용 HIPS 솔루션에서 찾아야 할 사항 목록입니다.
- 시그니처에 의존하지 않는다 : 알려진 위협의 서명 또는 고유 한 특성은 안티 바이러스 및 침입 탐지 (IDS)와 같은 소프트웨어에서 사용되는 주요 수단 중 하나입니다. 서명이 파손되면 대응할 수 없습니다. 위협이 존재할 때까지 서명을 개발할 수 없으며 서명이 만들어지기 전에 잠재적으로 공격받을 수 있습니다. HIPS 솔루션은 시그너처 기반 탐지 기능과 함께 "정상"네트워크 활동이 어떤 모습인지에 대한 기준선을 확립하고 비정상적인 트래픽에 응답하는 비정상 탐지 기능을 사용해야합니다. 예를 들어, 컴퓨터가 FTP를 사용하지 않고 갑자기 일부 위협이 컴퓨터에서 FTP 연결을 열려고하면 HIPS가이를 비정상적인 활동으로 감지합니다.
- 구성 작업 : 일부 HIPS 솔루션은 모니터링 및 보호 할 수있는 프로그램이나 프로세스 측면에서 제한적일 수 있습니다. 상업용 패키지를 취급 할 수있는 엉덩이뿐만 아니라 집에서 사용하는 커스텀 응용 프로그램을 사용할 수 있도록 노력해야합니다. 사용자 지정 응용 프로그램을 사용하지 않거나이 문제를 사용자 환경에 중요한 문제로 고려하지 않는 경우 적어도 HIPS 솔루션 이 실행중인 프로그램과 프로세스를 보호하는지 확인하십시오.
- 정책을 생성 할 수 있습니다 : 대부분의 HIPS 솔루션은 상당히 포괄적 인 사전 정의 된 정책 세트와 함께 제공되며 일반적으로 공급 업체는 새로운 위협 또는 공격에 대한 특정 대응을 제공하기 위해 새로운 정책을 제공하거나 업데이트를 제공합니다. 그러나 공급 업체가 고려하지 않은 고유 한 위협이 있거나 새로운 위협이 폭발하고 시스템을 보호하기위한 정책이 필요한 경우 자신의 정책을 수립 할 수 있어야합니다. 공급 업체는 업데이트를 릴리스 할 시간이 있습니다. 사용하는 제품이 정책을 만들 수있는 능력을 갖추고있을뿐만 아니라 수 주일간의 교육이나 전문 프로그래밍 기술 없이도 정책을 쉽게 작성할 수 있습니다.
- 중앙보고 및 관리 제공 : 개별 서버 또는 워크 스테이션에 대한 호스트 기반 보호에 대해 이야기하고 있지만 HIPS 및 NIPS 솔루션은 상대적으로 비용이 많이 들며 일반 가정 사용자 영역 밖입니다. 따라서 HIPS에 대해 이야기 할 때도 네트워크를 통해 수백 개의 데스크톱과 서버에 HIPS를 배포한다는 관점에서 고려해야 할 것입니다. 개별 데스크탑 수준에서 보호하는 것이 좋지만, 수백 가지 개별 시스템을 관리하거나 통합 보고서를 작성하는 것은 좋은보고 및 관리 기능이 없으면 거의 불가능합니다. 제품을 선택할 때 모든 시스템에 새 정책을 배포하거나 한 위치에서 모든 시스템의 보고서를 작성할 수 있도록 중앙 집중식보고 및 관리 기능이 있는지 확인하십시오.
당신이 명심할 필요가있는 몇 가지 다른 것들이 있습니다. 첫째, HIPS와 NIPS는 보안을위한 "총알"이 아닙니다. 방화벽과 바이러스 백신 응용 프로그램을 포함한 견고한 계층화 된 방어에 큰 도움이 될 수 있지만 기존 기술을 대체해서는 안됩니다.
둘째, HIPS 솔루션의 초기 구현은 힘들 수 있습니다. 비정상 기반 탐지를 구성하려면 응용 프로그램이 "정상적인"트래픽인지 아닌지를 이해하는 데 도움이되는 "손보는"상태가 필요합니다. 시스템의 "정상적인"트래픽을 정의하는 기준을 설정하기 위해 노력하는 동안 여러 가지 오 탐지 (false positive) 또는 네거티브 제외 (negative negative)가 발생할 수 있습니다.
마지막으로 회사는 일반적으로 회사를 위해 할 수있는 것을 기반으로 구매합니다. 표준 회계 관행은 투자 수익 (ROI)을 기준으로 측정 할 것을 제안합니다. 회계사는 새로운 제품이나 기술에 돈을 투자하는지, 제품이나 기술이 비용을 지불하는 데 얼마나 오래 걸릴지를 알고 싶어합니다.
불행하게도 네트워크 및 컴퓨터 보안 제품은 일반적으로 이러한 곰팡이에 적합하지 않습니다. 보안은 역방향 ROI에 더 많은 영향을줍니다. 보안 제품 또는 기술이 설계대로 작동하면 네트워크는 안전하게 유지되지만 ROI를 측정 할 "이익"이 없습니다. 반대로 생각해야하고 제품이나 기술이 제자리에 있지 않으면 회사가 얼마나 많은 손실을 줄 수 있는지 고려해야합니다. 서버를 복구하고, 데이터를 복구하고, 공격 후 정리하기 위해 기술 인력을 파견하는데 드는 시간과 자원 등을 처리하는 데 얼마의 돈을 지출해야합니까? 제품을 보유하지 않으면 구현할 제품 또는 기술 비용보다 훨씬 많은 돈을 잃을 가능성이 있습니다.