ISO 27039

ISO 27039 gee besonderhede oor die keuse, ontplooiing en werking van inbraakdetectie- en voorkomingstelsels (IDPS). Ons gaan ondersoek instel na wat dit beteken.

Wat is ISO 27039?

ISO / IEC 27039:2015 verskaf aanbevelings om organisasies te help met die implementering van inbraakdetectie- en -voorkomingstelsels (IDPS). ISO 27039 skets IDPS seleksie, implementering en prosesse. Die standaard bied ook konteksinligting vir hierdie riglyne. Opsporing en voorkoming van indringing is twee breë woorde wat praktyke definieer wat gebruik word om aanvalle te voorkom en nuwe bedreigings te vermy.

Opsporing van indringings is 'n reaktiewe maatreël wat deurlopende bedreigings opspoor en versag deur gebruik te maak van indringingopsporing. Dit is gewoond aan:

• Bespeur wanware (bv. Trojans, agterdeure, rootkits)
• Bespeur sosiale ingenieursaanrandings wat gebruikers manipuleer om vertroulike besonderhede bloot te lê (bv. uitvissing)

Inbraakvoorkoming is 'n proaktiewe sekuriteitsmaatreël wat 'n inbraakvoorkomingstelsel gebruik om toestelaanvalle uit te skakel. Dit sluit in:

• Afgeleë lêerinsluitings wat wanware-inspuiting moontlik maak,
• SQL-inspuitings wat gebruik word om maatskappydatabasisse te navigeer.

Goed ontwerpte, geïmplementeerde, gekonfigureerde, beheerde en bedryf IDPS, soos:

• Outomatisering optimaliseer sekuriteitspersoneel wat sou moes opspoor, evalueer en so goed hulle kan op netwerksekuriteitsinsidente moet reageer;
• Outomatisering is geneig om identifikasie en reaksie op aanvalle te bespoedig, veral algemene tipes aanvalle wat ondubbelsinnig deur unieke handtekeninge geïdentifiseer kan word;
• Hulle stel gerus bestuur dat sekuriteitsprobleme op netwerke en netwerktoestelle word opgespoor en versag.

Die standaard het leiding en instruksies oor die implementering van 'n IDPS.

Wat is inbraakdetectie- en voorkomingstelsels?

Organisasies moet nie net weet wat, waar en hoe hul netwerk, toestel of program binnegedring is nie. Hulle moet ook weet watter die misbruikte kwesbaarheid en watter voorsorgmaatreëls of effektiewe risikobehandelings te implementeer toekomstige probleme te vermy.

Organisasies kan ook kuber-indringings identifiseer en voorkom. Hierdie metode behels 'n ondersoek van netwerkverkeer en oudit spore vir bekende aanvalle of unieke patrone wat gewoonlik kwaadwillige bedoelings impliseer. In die middel van die 1990's het maatskappye begin om inbraakdetectie- en -voorkomingstelsels (IDPS) te gebruik om aan hierdie behoeftes te voldoen.

Die algemene gebruik van IDPS groei steeds met 'n groter verskeidenheid IDPS-toestelle wat beskikbaar gestel word om aan 'n groeiende vlak van organisatoriese vereistes vir gesofistikeerde inbraakdetectie te voldoen.

Intrusion Detection Systems is meestal outomatiese stelsels wat hackers se aanvalle en indringers in 'n netwerk of toestel identifiseer en die alarm maak. Inbraakvoorkoming Stelsels neem outomatisering 'n stap verder deur outomaties te reageer op sekere metodes van geïdentifiseerde aanval, soos die sluiting van spesifieke netwerkpoorte, via 'n brandmuur, om geïdentifiseerde hackerverkeer te blokkeer. IDPS verwys na beide tipes hiervan.

'n Insidentopsporingstelsel (IDS) is 'n hardeware- of sagtewareprogram wat bekende indringingshandtekeninge gebruik om inkomende en uitgaande netwerkverkeer vir verdagte aktiwiteite te identifiseer en te ontleed. 'n IDS bereik dit deur:

• Vergelyk stelsellêers met wanware-handtekeninge.
• Skandeerprosesse om gevaarlike patrone te identifiseer.
• Volg gebruikershandelinge vir kwaadwillige bedoelings.
• Beheer toestelkonfigurasies en parameters.

Wanneer 'n sekuriteitskending, virus of konfigurasiefout opgespoor word, sal 'n IDS 'n oortredende gebruiker van die netwerk afskop en 'n waarskuwing aan sekuriteitspersoneel stuur.

Ten spyte van sy voordeel, het 'n IDS inherente nadele. Aangesien dit gevestigde inbraakhandtekeninge gebruik om aanvalle te vind. Nuut ontdekte of nul-dag-bedreigings kan onopgemerk bly. 'n IDS bespeur slegs aktiewe aanvalle, nie inkomende aanvalle nie. 'n Inbraakvoorkomingstelsel is nodig om dit te blokkeer.

'n Inbraakvoorkomingstelsel (IPS) komplementeer 'n IDS-opstelling deur inkomende verkeer proaktief te hersien om kwaadwillige versoeke te vermy. 'n Standaard IPS-opstelling gebruik firewalls en verkeersfiltrering oplossings om toepassings te beskerm.

'n IPS vermy aanvalle deur kwaadwillige pakkies te laat val, inbreukmakende IP's te blokkeer en sekuriteitspersoneel te waarsku oor risiko's. Hierdie toestel gebruik tipies 'n voorafbestaande handtekeningherkenningsdatabasis en kan ontwerp word om verkeersgebaseerde aanvalle en gedragsonreëlmatighede op te spoor.

Alhoewel bekende aanvalsvektore effektief geblokkeer word, het sommige IPS-stelsels beperkings. Dit word gewoonlik veroorsaak deur oormatige vertroue op vooraf gedefinieerde wette, wat hulle kwesbaar maak vir vals positiewe.

Die geskiedenis van ISO/IEC 27039:2015

ISO het hierdie standaard in 2015 vrygestel. ISO 27039 is gepubliseer as 'n plaasvervanger vir ISO/IEC 18043:2006. In 2016 het die tegniese regstelling die beskrywing van die standaard hersien en die veral ontbrekende woorde "en voorkoming" heringestel.

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 het riglyne uitgereik aan 'n onderneming wat kies om inbraakdetectie in sy IT-infrastruktuur te verskaf. Dit was 'n 'hoe om' vir administrateurs en gebruikers wat wou:

• Om die koste en voordele van 'n IDS te verstaan
• Om 'n beleid en implementeringsplan vir die IDS daar te stel
• Om die uitsette van die IDS doeltreffend te beheer
• Om die monitering van indringers in die veiligheidsprosedures van die organisasie in te sluit
• Om die wetlike en privaatheidskwessies wat betrokke is by die bekendstelling van die IDS te oorweeg

ISO/IEC 18043:2006 het inligting verskaf wat gehelp het om samewerking tussen organisasies wat die IDS gebruik, te bevorder. Die struktuur het dit vir organisasies makliker gemaak om inligting te deel oor indringings wat organisasiegrense oorsteek.

ISO/IEC 18043:2006-standaard verskaf:

• 'n Kort beskrywing van die inbraakopsporingsproses
• 'n Verduideliking van wat die IDS kan en nie kan doen nie
• 'n Kontrolelys wat gehelp het om die beste IDS-kenmerke vir 'n spesifieke IT-omgewing te bepaal
• 'n Definisie van verskillende ontplooiingstrategieë
• Advies oor die bestuur van IDS-waarskuwings
• 'n Verduideliking vir bestuur en regskwessies

Wat is die voordele van ISO 27039?

Beide stelsels het voordele en nadele. ISO 27039 bevat spesifieke inligting en leiding vir die suksesvolle implementering en toepassing van IDPS'e vir alle organisasies.

Minder sekuriteitsinsidente.

Alhoewel tipies gekoppelde eenhede geen verandering opmerk nie, verseker die IPS minder inmenging vir organisasiestelsels en minder sekuriteitsinsidente.

Teken selektief aan en beskerm privaatheid

IPS volg net netwerkgedrag soos dit optree, wat netwerkgebruikers se privaatheid beskerm. IPS korreleer netwerkverkeer met gevestigde kwaadwillige verkeer, maar stoor of kry nie toegang tot die inhoud nie.

Betroubare bestuurde sekuriteit

Die IPS voldoen aan 'n reputasie-gebaseerde lys van vermoedelike kwaadwillige werwe en domeine wat proaktief gebruik word om die maatskappy te beveilig. Byvoorbeeld: As 'n personeellid 'n verbinding in 'n uitvissing-e-pos of 'n wanware-advertensie vir 'n webwerf op die IPS-ontkenningslys van geïdentifiseerde kwaadwillige werwe klik, sal die stelsel die verkeer blokkeer, en die werknemer sal 'n leë skerm sien.

Multi-bedreiging sekuriteit

IPS bied zero-day aanval beskerming, verminder brute force wagwoord aanvalle, en bied beskerming teen risiko's vir toeganklikheid, soos DDoS en DoS pogings. Gestel byvoorbeeld 'n misdadiger probeer toegang tot 'n rekening verkry deur brute geweld (bv. herhalende aanmeldpogings). Die IPS sal die skaal van databewegings opspoor, verdagte patrone identifiseer en toegang weier.

Dinamiese reaksie gevaar

IPS identifiseer en reageer op unieke bedreigings, wat instellings in staat stel om op gedefinieerde bedreigings vir die maatskappy te reageer.

Die implementering van 'n IDS het egter sy eie voordele. Hierdie voordele sluit in:

• Deur die handtekeningdatabasis te gebruik, verseker IDS vinnige en doeltreffende identifikasie van geïdentifiseerde afwykings met 'n lae kans op vals alarms.
• Dit ontleed verskillende soorte bedreigings, bespeur neigings van kwaadwillige inhoud en help administrateurs om te skik, bestuur en toepaslike beheermaatreëls af te dwing.
• Dit help om regulatoriese afdwinging te verseker en om aan veiligheidsregulasies te voldoen, aangesien dit groter sigbaarheid oor die hele netwerk bied.
• Terwyl IDS gewoonlik 'n passiewe toestel is, terwyl dit waarskuwings opspoor en genereer, kan sommige aktiewe IDS IP-adresse blokkeer of toegang tot hulpbronne verhoed wanneer 'n afwyking bespeur word.

Wie kan ISO 27039 implementeer?

Die ISO 27039-standaard help organisasies:

Probeer ontmoet ISO 27001 vereistes, spesifiek Bylae A.16:

• Die organisasie implementeer prosedures en ander maatreëls wat in staat is om vinnige identifikasie en reaksie op veiligheidsvoorvalle
• Om gepoogde en suksesvolle sekuriteitsbreuke en -voorvalle beter op te spoor, sal die maatskappy moniterings- en evalueringsprosedures en ander kontroles uitvoer

Probeer om die volgende sekuriteitsdoelwitte te bereik van ISO 27002

• Opspoor van onwettige inligtingverwerkingsaktiwiteite;
• Moniteringstelsels met inligtingsekuriteitsaktiwiteite gedokumenteer, met behulp van operateurlogboeke en foutregistrasie om toestelprobleme op te spoor
• Die doel is om te voldoen aan alle toepaslike wetlike kriteria vir sy monitering en verslagdoening aktiwiteite
• Stelselmonitering om die doeltreffendheid van beheermaatreëls wat geïmplementeer is te bevestig en nakoming van 'n toegangsbeleid te verifieer model

Egter 'n organisasie moet verstaan dat die implementering van IDPS nie 'n enkele of volledige benadering is om die vereistes op te los nie. Boonop is hierdie Internasionale Standaard ook nie bedoel as riglyne vir enige nakomingsevaluering, soos ISMS-sertifisering.