ISO 27039

ISO 27039 kertoo tunkeutumisen havainnointi- ja estojärjestelmien (IDPS) valinnan, käyttöönoton ja toiminnan. Aiomme tutkia, mitä se tarkoittaa.

Mikä on ISO 27039?

ISO / IEC 27039:2015 sisältää suosituksia, jotka auttavat organisaatioita tunkeutumisen havaitsemis- ja estojärjestelmien (IDPS) käyttöönotossa. ISO 27039 määrittelee IDPS:n valinnan, toteutuksen ja prosessit. Standardi tarjoaa myös näiden ohjeiden kontekstitietoja. Tunkeutumisen havaitseminen ja estäminen ovat kaksi laajaa sanaa, jotka määrittelevät käytännöt, joita käytetään estämään hyökkäyksiä ja välttämään uusia uhkia.

Tunkeutumisten havaitseminen on reaktiivinen toimenpide, joka havaitsee ja lieventää käynnissä olevia uhkia tunkeutumisen havaitsemisen avulla. Se on tottunut:

• Tunnista haittaohjelmat (esim. troijalaiset, takaovet, rootkit)
• Sellaisten manipulointihyökkäysten havaitseminen, joissa käyttäjiä manipuloidaan paljastamaan luottamuksellisia tietoja (esim. tietojenkalastelu)

Tunkeutumisen esto on ennakoiva turvatoimenpide, joka käyttää tunkeutumisen estojärjestelmää laitehyökkäysten poistamiseen. Se sisältää:

• Etätiedostot, jotka mahdollistavat haittaohjelmien lisäämisen,
• SQL-injektiot, joita käytetään yritystietokannassa liikkumiseen.

Hyvin suunniteltu, toteutettu, konfiguroitu, ohjattu ja käytetty IDPS, kuten:

• Automatisointi optimoi tietoturva-ammattilaiset, joiden on seurattava, arvioitava ja reagoitava parhaalla mahdollisella tavalla verkon tietoturvahäiriöihin;
• Automaatio pyrkii nopeuttamaan tunnistamista ja reagointia hyökkäyksiin, erityisesti yleisiin hyökkäyksiin, jotka voidaan yksiselitteisesti tunnistaa yksilöllisten allekirjoitusten avulla;
• He rauhoittavat verkkojen tietoturvaongelmien hallinta ja verkkoon liitetyt laitteet tunnistetaan ja niitä vähennetään.

Standardissa on ohjeita ja ohjeita IDPS:n käyttöönotosta.

Mitä ovat tunkeutumisen havaitsemis- ja estojärjestelmät?

Organisaatioiden ei pitäisi vain tietää, mitä, missä ja miten niiden verkkoon, laitteeseen tai ohjelmaan tunkeutui. Heidän tulisi myös tietää, mikä haavoittuvuus on väärin käytetty ja mitä varotoimia tai toteuttaa tehokkaita riskihoitoja tulevien ongelmien välttämiseksi.

Organisaatiot voivat myös tunnistaa ja estää kybermurron. Tämä menetelmä sisältää verkkoliikenteen tarkastelun ja auditoinnin jäljittää tunnettuja hyökkäyksiä tai ainutlaatuisia malleja, jotka yleensä viittaavat pahantahtoiseen tarkoitukseen. 1990-luvun puolivälissä yritykset alkoivat käyttää tunkeutumisen havainnointi- ja estojärjestelmiä (IDPS) vastatakseen näihin tarpeisiin.

IDPS:n yleinen käyttö kasvaa edelleen, kun saatavilla on entistä laajempi valikoima IDPS-laitteita, jotka täyttävät kehittyneen tunkeutumisen havaitsemisen kasvavat organisaatiovaatimukset.

Tunkeutumisen havaitsemisjärjestelmät ovat enimmäkseen automatisoituja järjestelmiä, jotka tunnistavat hakkereiden hyökkäykset ja tunkeutumisen verkkoon tai laitteeseen ja antavat hälytyksen. Tunkeutumisen esto Järjestelmät vievät automatisoinnin askeleen pidemmälle reagoimalla automaattisesti tiettyihin tunnistettujen hyökkäysmenetelmiin, kuten tiettyjen verkkoporttien sulkemiseen palomuurin kautta tunnistetun hakkeriliikenteen estämiseksi. IDPS viittaa molempiin tämäntyyppisiin.

Incident Detection System (IDS) on laitteisto tai ohjelmisto, joka käyttää tunnettuja tunkeutumistunnuksia tunnistamaan ja analysoimaan saapuvaa ja lähtevää verkkoliikennettä epäilyttävien toimintojen varalta. IDS saavuttaa tämän seuraavasti:

• Vertaa järjestelmätiedostoja haittaohjelmien allekirjoituksiin.
• Skannausprosessit vaarallisten kuvioiden tunnistamiseksi.
• Seuraa käyttäjien toimia haitallisten aikomusten varalta.
• Ohjaa laitteen konfiguraatioita ja parametreja.

Havaittuaan tietoturvaloukkauksen, viruksen tai konfigurointivirheen IDS potkaisee loukkaavan käyttäjän pois verkosta ja lähettää varoituksen turvahenkilöstölle.

Edustaan ​​huolimatta IDS:llä on luontaisia ​​haittoja. Koska se käyttää vakiintuneita tunkeutumisen allekirjoituksia löytääkseen hyökkäykset. Äskettäin löydetyt tai nollapäivän uhat voivat jäädä havaitsematta. IDS havaitsee vain aktiiviset hyökkäykset, ei saapuvia hyökkäyksiä. Näiden estämiseksi tarvitaan tunkeutumisen estojärjestelmä.

IPS (Intrusion Prevention System) täydentää IDS-asetuksia tarkistamalla ennakoivasti saapuvan liikenteen haitallisten pyyntöjen välttämiseksi. Tavallinen IPS-asennus käyttää palomuuria ja liikenteen suodatusta ratkaisuja sovellusten suojaamiseen.

IPS välttää hyökkäykset pudottamalla haitallisia paketteja, estämällä loukkaavia IP-osoitteita ja varoittamalla turvallisuushenkilöstöä riskeistä. Tämä laite käyttää tyypillisesti jo olemassa olevaa allekirjoituksen tunnistustietokantaa, ja se voidaan suunnitella havaitsemaan liikenteeseen perustuvat hyökkäykset ja käyttäytymisen epäsäännöllisyydet.

Vaikka jotkin IPS-järjestelmät estävät tehokkaasti tunnetut hyökkäysvektorit, niillä on rajoituksia. Nämä johtuvat yleensä liiallisesta luottamisesta ennalta määriteltyihin lakeihin, mikä tekee niistä alttiita väärille positiivisille tuloksille.

ISO/IEC 27039:2015 historia

ISO julkaisi tämän standardin vuonna 2015. ISO 27039 julkaistiin korvaamaan ISO/IEC 18043:2006. Vuonna 2016 teknisessä oikaisussa standardin kuvausta tarkistettiin ja palautettiin selvästi puuttuvat sanat "ja ennaltaehkäisy".

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 antoi ohjeet yritykselle, joka päättää tarjota tunkeutumisen havaitsemisen IT-infrastruktuurissaan. Se oli "miten" järjestelmänvalvojille ja käyttäjille, jotka halusivat:

• Ymmärtää IDS:n kustannukset ja hyödyt
• Luoda IDS:lle politiikka ja toteutussuunnitelma
• Ohjaa tehokkaasti IDS:n lähtöjä
• Sisällyttää tunkeutumisen valvonta organisaation turvallisuusmenettelyihin
• Otetaan huomioon IDS:n käyttöönottoon liittyvät oikeudelliset ja yksityisyyteen liittyvät huolenaiheet

ISO/IEC 18043:2006 antoi tietoa, joka auttoi edistämään IDS:ää käyttävien organisaatioiden välistä yhteistyötä. Rakenne helpotti organisaatioiden jakaa tietoa tunkeutumisesta, joka ylittää organisaatiorajat.

ISO/IEC 18043:2006 -standardi edellyttäen:

• Lyhyt kuvaus tunkeutumisen havaitsemisprosessista
• Selitys siitä, mitä IDS voi tehdä ja mitä ei
• Tarkistuslista, joka auttoi määrittämään parhaat IDS-ominaisuudet tiettyyn IT-ympäristöön
• Erilaisten käyttöönottostrategioiden määritelmä
• Ohjeita IDS-hälytysten hallintaan
• Selitys johdon ja oikeudellisille huolenaiheille

Mitkä ovat ISO 27039: n edut?

Molemmilla järjestelmillä on etuja ja haittoja. ISO 27039 sisältää erityisiä tietoja ja ohjeita IDPS-standardien onnistuneelle käyttöönotolle ja soveltamiselle kaikille organisaatioille.

Vähemmän turvallisuushäiriöitä.

Vaikka tyypillisesti linkitetyt yksiköt eivät huomaa muutoksia, IPS varmistaa vähemmän häiriöitä organisaation järjestelmille ja vähemmän turvallisuushäiriöitä.

Kirjaaminen valikoivasti ja yksityisyyden suojaaminen

IPS seuraa vain verkon käyttäytymistä toimenpiteiden aikana ja suojaa verkon käyttäjien yksityisyyttä. IPS korreloi verkkoliikennettä vakiintuneen haitallisen liikenteen kanssa, mutta ei tallenna tai käytä sisältöä.

Hyvämaineinen hallittu tietoturva

IPS noudattaa maineeseen perustuvaa luetteloa epäillyistä haitallisista sivustoista ja verkkotunnuksista, joita käytetään ennakoivasti yrityksen turvaamiseen. Esimerkki: Jos henkilökunnan jäsen napsauttaa tietokalasteluviestissä olevaa yhteyttä tai haittaohjelmamainosta tunnistettujen haitallisten sivustojen IPS-kieltoluettelossa olevan sivuston sivustolle, järjestelmä estää liikenteen ja työntekijä näkee tyhjän näytön.

Monien uhkien turvallisuus

IPS tarjoaa nollapäivän hyökkäyssuojan, vähentää raakoja salasanahyökkäyksiä ja tarjoaa suojan esteettömyyden riskeiltä, ​​kuten DDoS- ja DoS-yritykseltä. Oletetaan esimerkiksi, että rikollinen yrittää päästä tilille raa'alla voimalla (esim. toistuvat kirjautumisyritykset). IPS seuraa tiedon liikkeiden laajuutta, tunnistaa epäilyttävät kuviot ja estää pääsyn.

Dynaamisen vasteen vaara

IPS tunnistaa ainutlaatuiset uhat ja reagoi niihin, jolloin laitokset voivat reagoida määriteltyihin yritykseen kohdistuviin uhkiin.

IDS:n käyttöönotolla on kuitenkin omat etunsa. Näitä etuja ovat:

• Allekirjoitustietokannan avulla IDS varmistaa tunnistettujen poikkeamien nopean ja tehokkaan tunnistamisen ja väärien hälytysten vähäisen mahdollisuuden.
• Se analysoi erityyppisiä uhkia, havaitsee haitallisen sisällön trendit ja auttaa järjestelmänvalvojia selvittämään hallita ja valvoa riittävää valvontaa.
• Se auttaa varmistamaan säännösten täytäntöönpanon ja noudattamaan turvallisuusmääräyksiä, koska se tarjoaa paremman näkyvyyden koko verkossa.
• Vaikka IDS on yleensä passiivinen laite, jotkin aktiiviset IDS:t voivat estää IP-osoitteita tai estää pääsyn resursseihin, kun ne havaitsevat ja luovat varoituksia, kun poikkeama havaitaan.

Kuka voi ottaa käyttöön ISO 27039:n?

ISO 27039 -standardi auttaa organisaatioita:

Yrittää tavata ISO 27001 vaatimukset erityisesti Liite A.16:

• Organisaatio toteuttaa menettelyjä ja muita toimenpiteitä, jotka mahdollistavat nopean tunnistamisen ja vastaus turvatapahtumiin
• Yritettyjen ja onnistuneiden tietoturvaloukkausten ja vaaratilanteiden havaitsemiseksi paremmin yrityksen tulee suorittaa seuranta- ja arviointimenettelyjä sekä muita valvontatoimia

Yritetään täyttää seuraavat turvallisuustavoitteet ISO 27002

• Laittomien tietojenkäsittelytoimintojen havaitseminen;
• Valvontajärjestelmät tietoturvatoiminta dokumentoitu, käyttämällä operaattorilokeja ja vikalokia laiteongelmien havaitsemiseen
• Tavoitteena on täyttää kaikki sovellettavat lailliset kriteerit seuranta- ja raportointitoiminnassaan
• Järjestelmän valvonta käyttöönotettujen säätöjen tehokkuuden varmistamiseksi ja varmistaa pääsykäytännön noudattaminen malli

Kuitenkin, organisaation pitäisi ymmärtää IDPS:n käyttöönotto ei ole yksittäinen tai täydellinen lähestymistapa vaatimusten ratkaisemiseen. Lisäksi tätä kansainvälistä standardia ei myöskään ole tarkoitettu ohjeiksi minkään vaatimustenmukaisuuden arvioinnille, kuten ISMS-sertifikaatti.