ISO 27039 kertoo tunkeutumisen havainnointi- ja estojärjestelmien (IDPS) valinnan, käyttöönoton ja toiminnan. Aiomme tutkia, mitä se tarkoittaa.
ISO / IEC 27039:2015 sisältää suosituksia, jotka auttavat organisaatioita tunkeutumisen havaitsemis- ja estojärjestelmien (IDPS) käyttöönotossa. ISO 27039 määrittelee IDPS:n valinnan, toteutuksen ja prosessit. Standardi tarjoaa myös näiden ohjeiden kontekstitietoja. Tunkeutumisen havaitseminen ja estäminen ovat kaksi laajaa sanaa, jotka määrittelevät käytännöt, joita käytetään estämään hyökkäyksiä ja välttämään uusia uhkia.
Tunkeutumisten havaitseminen on reaktiivinen toimenpide, joka havaitsee ja lieventää käynnissä olevia uhkia tunkeutumisen havaitsemisen avulla. Se on tottunut:
Tunkeutumisen esto on ennakoiva turvatoimenpide, joka käyttää tunkeutumisen estojärjestelmää laitehyökkäysten poistamiseen. Se sisältää:
Hyvin suunniteltu, toteutettu, konfiguroitu, ohjattu ja käytetty IDPS, kuten:
Standardissa on ohjeita ja ohjeita IDPS:n käyttöönotosta.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Organisaatioiden ei pitäisi vain tietää, mitä, missä ja miten niiden verkkoon, laitteeseen tai ohjelmaan tunkeutui. Heidän tulisi myös tietää, mikä haavoittuvuus on väärin käytetty ja mitä varotoimia tai toteuttaa tehokkaita riskihoitoja tulevien ongelmien välttämiseksi.
Organisaatiot voivat myös tunnistaa ja estää kybermurron. Tämä menetelmä sisältää verkkoliikenteen tarkastelun ja auditoinnin jäljittää tunnettuja hyökkäyksiä tai ainutlaatuisia malleja, jotka yleensä viittaavat pahantahtoiseen tarkoitukseen. 1990-luvun puolivälissä yritykset alkoivat käyttää tunkeutumisen havainnointi- ja estojärjestelmiä (IDPS) vastatakseen näihin tarpeisiin.
IDPS:n yleinen käyttö kasvaa edelleen, kun saatavilla on entistä laajempi valikoima IDPS-laitteita, jotka täyttävät kehittyneen tunkeutumisen havaitsemisen kasvavat organisaatiovaatimukset.
Tunkeutumisen havaitsemisjärjestelmät ovat enimmäkseen automatisoituja järjestelmiä, jotka tunnistavat hakkereiden hyökkäykset ja tunkeutumisen verkkoon tai laitteeseen ja antavat hälytyksen. Tunkeutumisen esto Järjestelmät vievät automatisoinnin askeleen pidemmälle reagoimalla automaattisesti tiettyihin tunnistettujen hyökkäysmenetelmiin, kuten tiettyjen verkkoporttien sulkemiseen palomuurin kautta tunnistetun hakkeriliikenteen estämiseksi. IDPS viittaa molempiin tämäntyyppisiin.
Incident Detection System (IDS) on laitteisto tai ohjelmisto, joka käyttää tunnettuja tunkeutumistunnuksia tunnistamaan ja analysoimaan saapuvaa ja lähtevää verkkoliikennettä epäilyttävien toimintojen varalta. IDS saavuttaa tämän seuraavasti:
Havaittuaan tietoturvaloukkauksen, viruksen tai konfigurointivirheen IDS potkaisee loukkaavan käyttäjän pois verkosta ja lähettää varoituksen turvahenkilöstölle.
Edustaan huolimatta IDS:llä on luontaisia haittoja. Koska se käyttää vakiintuneita tunkeutumisen allekirjoituksia löytääkseen hyökkäykset. Äskettäin löydetyt tai nollapäivän uhat voivat jäädä havaitsematta. IDS havaitsee vain aktiiviset hyökkäykset, ei saapuvia hyökkäyksiä. Näiden estämiseksi tarvitaan tunkeutumisen estojärjestelmä.
IPS (Intrusion Prevention System) täydentää IDS-asetuksia tarkistamalla ennakoivasti saapuvan liikenteen haitallisten pyyntöjen välttämiseksi. Tavallinen IPS-asennus käyttää palomuuria ja liikenteen suodatusta ratkaisuja sovellusten suojaamiseen.
IPS välttää hyökkäykset pudottamalla haitallisia paketteja, estämällä loukkaavia IP-osoitteita ja varoittamalla turvallisuushenkilöstöä riskeistä. Tämä laite käyttää tyypillisesti jo olemassa olevaa allekirjoituksen tunnistustietokantaa, ja se voidaan suunnitella havaitsemaan liikenteeseen perustuvat hyökkäykset ja käyttäytymisen epäsäännöllisyydet.
Vaikka jotkin IPS-järjestelmät estävät tehokkaasti tunnetut hyökkäysvektorit, niillä on rajoituksia. Nämä johtuvat yleensä liiallisesta luottamisesta ennalta määriteltyihin lakeihin, mikä tekee niistä alttiita väärille positiivisille tuloksille.
ISO julkaisi tämän standardin vuonna 2015. ISO 27039 julkaistiin korvaamaan ISO/IEC 18043:2006. Vuonna 2016 teknisessä oikaisussa standardin kuvausta tarkistettiin ja palautettiin selvästi puuttuvat sanat "ja ennaltaehkäisy".
ISO/IEC 18043:2006 antoi ohjeet yritykselle, joka päättää tarjota tunkeutumisen havaitsemisen IT-infrastruktuurissaan. Se oli "miten" järjestelmänvalvojille ja käyttäjille, jotka halusivat:
ISO/IEC 18043:2006 antoi tietoa, joka auttoi edistämään IDS:ää käyttävien organisaatioiden välistä yhteistyötä. Rakenne helpotti organisaatioiden jakaa tietoa tunkeutumisesta, joka ylittää organisaatiorajat.
ISO/IEC 18043:2006 -standardi edellyttäen:
Aloimme käyttää laskentataulukoita ja se oli painajainen. ISMS.online-ratkaisulla kaikki kova työ tehtiin helpoksi.
Molemmilla järjestelmillä on etuja ja haittoja. ISO 27039 sisältää erityisiä tietoja ja ohjeita IDPS-standardien onnistuneelle käyttöönotolle ja soveltamiselle kaikille organisaatioille.
Vaikka tyypillisesti linkitetyt yksiköt eivät huomaa muutoksia, IPS varmistaa vähemmän häiriöitä organisaation järjestelmille ja vähemmän turvallisuushäiriöitä.
IPS seuraa vain verkon käyttäytymistä toimenpiteiden aikana ja suojaa verkon käyttäjien yksityisyyttä. IPS korreloi verkkoliikennettä vakiintuneen haitallisen liikenteen kanssa, mutta ei tallenna tai käytä sisältöä.
IPS noudattaa maineeseen perustuvaa luetteloa epäillyistä haitallisista sivustoista ja verkkotunnuksista, joita käytetään ennakoivasti yrityksen turvaamiseen. Esimerkki: Jos henkilökunnan jäsen napsauttaa tietokalasteluviestissä olevaa yhteyttä tai haittaohjelmamainosta tunnistettujen haitallisten sivustojen IPS-kieltoluettelossa olevan sivuston sivustolle, järjestelmä estää liikenteen ja työntekijä näkee tyhjän näytön.
IPS tarjoaa nollapäivän hyökkäyssuojan, vähentää raakoja salasanahyökkäyksiä ja tarjoaa suojan esteettömyyden riskeiltä, kuten DDoS- ja DoS-yritykseltä. Oletetaan esimerkiksi, että rikollinen yrittää päästä tilille raa'alla voimalla (esim. toistuvat kirjautumisyritykset). IPS seuraa tiedon liikkeiden laajuutta, tunnistaa epäilyttävät kuviot ja estää pääsyn.
IPS tunnistaa ainutlaatuiset uhat ja reagoi niihin, jolloin laitokset voivat reagoida määriteltyihin yritykseen kohdistuviin uhkiin.
IDS:n käyttöönotolla on kuitenkin omat etunsa. Näitä etuja ovat:
ISO 27039 -standardi auttaa organisaatioita:
Yrittää tavata ISO 27001 vaatimukset erityisesti Liite A.16:
Yritetään täyttää seuraavat turvallisuustavoitteet ISO 27002
Kuitenkin, organisaation pitäisi ymmärtää IDPS:n käyttöönotto ei ole yksittäinen tai täydellinen lähestymistapa vaatimusten ratkaisemiseen. Lisäksi tätä kansainvälistä standardia ei myöskään ole tarkoitettu ohjeiksi minkään vaatimustenmukaisuuden arvioinnille, kuten ISMS-sertifikaatti.
Lauseke 1: Soveltamisala
Lauseke 2: Termit ja määritelmät
Lauseke 3: Tausta
Lauseke 4: Yleistä
Kohta 5: Valinta
Lauseke 6: Käyttöönotto
Lauseke 7: Toiminta
ISO 27039 sisältää seitsemän lauseketta ja yhden liitteen.
Kolme pääosaa muodostaa standardin osan:
Liite A: Tunkeutumisen havainnointi- ja estojärjestelmä (IDPS): Puitteet ja huomioon otettavat asiat
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa