Hal-Hal yang Harus Diperhatikan Dalam Garis Pertahanan Terakhir Ini
Keamanan berlapis adalah prinsip keamanan komputer dan jaringan yang diterima secara luas (lihat Keamanan Kedalaman). Premis dasarnya adalah bahwa diperlukan beberapa lapis pertahanan untuk melindungi terhadap berbagai serangan dan ancaman. Tidak hanya satu produk atau teknik yang tidak melindungi dari setiap ancaman yang mungkin terjadi, oleh karena itu membutuhkan produk yang berbeda untuk ancaman yang berbeda, tetapi memiliki beberapa lini pertahanan diharapkan akan memungkinkan satu produk untuk menangkap barang-barang yang mungkin telah melewati pertahanan luar.
Ada banyak aplikasi dan perangkat yang dapat Anda gunakan untuk berbagai lapisan- perangkat lunak antivirus, firewall, IDS (Intrusion Detection Systems), dan banyak lagi. Masing-masing memiliki fungsi yang sedikit berbeda dan melindungi dari serangkaian serangan yang berbeda dengan cara yang berbeda.
Salah satu teknologi yang lebih baru adalah Sistem Pencegahan Intrusi IPS. IPS agak seperti menggabungkan IDS dengan firewall. IDS yang khas akan mencatat atau memperingatkan Anda tentang lalu lintas yang mencurigakan, tetapi tanggapan tersebut diserahkan kepada Anda. IPS memiliki kebijakan dan aturan yang membandingkan lalu lintas jaringan ke. Jika lalu lintas melanggar kebijakan dan aturan, IPS dapat dikonfigurasi untuk merespons, bukan hanya memperingatkan Anda. Respons umum mungkin untuk memblokir semua lalu lintas dari alamat IP sumber atau memblokir lalu lintas masuk pada port tersebut untuk secara proaktif melindungi komputer atau jaringan.
Ada sistem pencegahan intrusi berbasis jaringan (NIPS) dan ada sistem pencegahan intrusi berbasis host (HIPS). Meskipun bisa lebih mahal untuk menerapkan HIPS - terutama di lingkungan perusahaan yang besar, saya merekomendasikan keamanan berbasis host sedapat mungkin. Menghentikan intrusi dan infeksi pada tingkat workstation individu dapat jauh lebih efektif dalam memblokir, atau setidaknya mengandung, ancaman. Dengan itu, berikut adalah daftar hal-hal yang harus dicari dalam solusi HIPS untuk jaringan Anda:
- Tidak Mengandalkan Tanda Tangan : Tanda tangan - atau karakteristik unik dari ancaman yang diketahui - adalah salah satu sarana utama yang digunakan oleh perangkat lunak seperti antivirus dan deteksi intrusi (IDS). Kejatuhan tanda tangan adalah bahwa mereka reaktif. Tanda tangan tidak dapat dikembangkan sampai setelah ada ancaman dan Anda berpotensi diserang sebelum tanda tangan dibuat. Solusi HIPS Anda harus menggunakan deteksi berbasis tanda tangan bersama dengan deteksi berbasis anomali yang menetapkan garis dasar dari apa yang terlihat seperti aktivitas jaringan "normal" pada mesin Anda dan akan menanggapi setiap lalu lintas yang tampak tidak biasa. Sebagai contoh, jika komputer Anda tidak pernah menggunakan FTP dan tiba-tiba beberapa ancaman mencoba untuk membuka koneksi FTP dari komputer Anda, HIPS akan mendeteksi ini sebagai aktivitas anomali.
- Bekerja Dengan Konfigurasi Anda : Beberapa solusi HIPS mungkin membatasi dalam hal program atau proses apa yang dapat mereka pantau dan lindungi. Anda harus mencoba untuk menemukan PINGGUL yang mampu menangani paket komersial dari rak serta aplikasi kustom yang dikembangkan sendiri yang mungkin Anda gunakan. Jika Anda tidak menggunakan aplikasi khusus atau tidak menganggap ini sebagai masalah yang signifikan bagi lingkungan Anda, setidaknya pastikan bahwa solusi HIPS Anda melindungi program dan proses yang Anda jalankan.
- Memungkinkan Anda Untuk Membuat Kebijakan : Sebagian besar solusi HIPS datang dengan seperangkat kebijakan dan vendor yang cukup lengkap yang biasanya akan menawarkan pembaruan atau mengeluarkan kebijakan baru untuk memberikan respons spesifik untuk ancaman atau serangan baru. Namun, penting bahwa Anda memiliki kemampuan untuk membuat kebijakan Anda sendiri jika Anda memiliki ancaman unik yang tidak diperhitungkan vendor atau ketika ancaman baru meledak dan Anda memerlukan kebijakan untuk mempertahankan sistem Anda sebelum vendor memiliki waktu untuk merilis pembaruan. Anda perlu memastikan bahwa produk yang Anda gunakan tidak hanya memiliki kemampuan bagi Anda untuk membuat kebijakan, tetapi pembuatan kebijakan itu cukup sederhana untuk Anda pahami tanpa pelatihan berminggu-minggu atau keterampilan pemrograman ahli.
- Menyediakan Pelaporan dan Administrasi Pusat : Sementara kita berbicara tentang perlindungan berbasis host untuk server atau workstation individual, solusi HIPS dan NIPS relatif mahal dan berada di luar wilayah pengguna rumah biasa. Jadi, bahkan ketika berbicara tentang HIPS Anda mungkin perlu mempertimbangkannya dari sudut pandang penyebaran HIPS pada kemungkinan ratusan desktop dan server di seluruh jaringan. Meskipun bagus untuk memiliki perlindungan pada tingkat desktop individu, mengelola ratusan sistem individu, atau mencoba membuat laporan konsolidasi hampir tidak mungkin tanpa fungsi pelaporan dan administrasi yang baik. Ketika memilih produk, pastikan bahwa ia telah memusatkan pelaporan dan administrasi untuk memungkinkan Anda menyebarkan kebijakan baru ke semua mesin atau membuat laporan dari semua mesin dari satu lokasi.
Ada beberapa hal lain yang perlu Anda ingat. Pertama, HIPS dan NIPS bukan "peluru perak" untuk keamanan. Mereka bisa menjadi tambahan yang bagus untuk pertahanan yang kokoh dan berlapis termasuk firewall dan aplikasi antivirus di antara hal-hal lain, tetapi seharusnya tidak mencoba untuk menggantikan teknologi yang ada.
Kedua, implementasi awal solusi HIPS bisa sangat telaten. Mengkonfigurasi deteksi berbasis anomali sering membutuhkan banyak "pegangan tangan" untuk membantu aplikasi memahami lalu lintas "normal" dan apa yang tidak. Anda mungkin mengalami sejumlah positif palsu atau melewatkan negatif saat Anda bekerja untuk menetapkan garis dasar apa yang mendefinisikan lalu lintas "normal" untuk mesin Anda.
Terakhir, perusahaan umumnya melakukan pembelian berdasarkan apa yang dapat mereka lakukan untuk perusahaan. Praktik akuntansi standar menunjukkan bahwa ini diukur berdasarkan laba atas investasi, atau ROI. Akuntan ingin memahami jika mereka menginvestasikan sejumlah uang dalam produk atau teknologi baru, berapa lama waktu yang diperlukan untuk produk atau teknologi untuk membayar sendiri.
Sayangnya, jaringan dan produk keamanan komputer umumnya tidak sesuai dengan cetakan ini. Keamanan bekerja pada lebih dari ROI terbalik. Jika produk atau teknologi keamanan berfungsi sebagaimana dirancang, jaringan akan tetap aman - tetapi tidak akan ada "laba" untuk mengukur ROI. Anda harus melihat sebaliknya dan mempertimbangkan berapa banyak kerugian perusahaan jika produk atau teknologi tidak tersedia. Berapa banyak uang yang harus dihabiskan untuk membangun kembali server, memulihkan data, waktu dan sumber daya tenaga teknis yang berdedikasi untuk membersihkan setelah serangan, dll? Jika tidak memiliki produk berpotensi mengakibatkan kehilangan uang yang jauh lebih besar daripada produk atau biaya teknologi untuk diterapkan, maka mungkin masuk akal untuk melakukannya.