תקן ISO 27039 מפרט את הבחירה, הפריסה והתפעול של מערכות זיהוי ומניעת חדירות (IDPS). אנחנו הולכים לחקור מה זה אומר.
ISO / IEC 27039:2015 מספק המלצות לסייע לארגונים ביישום מערכות זיהוי ומניעת חדירות (IDPS). ISO 27039 מתאר את הבחירה, ההטמעה והתהליכים של IDPS. התקן מציע גם מידע הקשר עבור הנחיות אלו. איתור ומניעת חדירה הן שתי מילים רחבות המגדירות שיטות המשמשות למניעת התקפות ולהימנעות מאיומים חדשים.
זיהוי חדירות הוא אמצעי תגובתי שמזהה ומפחית איומים מתמשכים באמצעות זיהוי חדירה. זה רגיל ל:
מניעת חדירה היא אמצעי אבטחה פרואקטיבי המשתמש במערכת למניעת חדירה למניעת התקפות מכשירים. זה כולל:
IDPS מעוצב היטב, מיושם, מוגדר, מבוקר ומופעל היטב, כמו:
בתקן יש הנחיות והנחיות ליישום IDPS.
ארגונים לא צריכים לדעת רק מה, היכן וכיצד נחדרו לרשת, למכשיר או לתוכנית שלהם. הם צריכים גם לדעת מה הפגיעות שניצלה לרעה ואילו אמצעי זהירות או ליישם טיפולי סיכון יעילים כדי למנוע בעיות עתידיות.
ארגונים יכולים גם לזהות ולמנוע פריצות סייבר. השיטה הזאת כולל בדיקה של תעבורת רשת וביקורת עקבות אחר התקפות ידועות או דפוסים ייחודיים המרמזים בדרך כלל על כוונת זדון. באמצע שנות ה-1990, חברות החלו להשתמש במערכות זיהוי ומניעת חדירות (IDPS) כדי לענות על צרכים אלו.
השימוש הכללי ב-IDPS ממשיך לגדול עם מגוון רחב יותר של מכשירי IDPS שעומדים לרשותם כדי לעמוד ברמה הולכת וגדלה של דרישות ארגוניות לזיהוי חדירות מתוחכם.
מערכות זיהוי חדירות הן לרוב מערכות אוטומטיות המזהות התקפות וחדירה של האקרים לרשת או מכשיר ומעוררות אזעקה. מניעת חדירות מערכות לוקחות את האוטומציה שלב קדימה על ידי תגובה אוטומטית לשיטות מסוימות של התקפה מזוהה, כגון סגירת יציאות רשת ספציפיות, באמצעות חומת אש, כדי לחסום תעבורת האקרים מזוהה. IDPS מתייחס לשני הסוגים של זה.
מערכת זיהוי תקריות (IDS) היא חומרה או תוכנה המשתמשת בחתימות חדירה ידועות כדי לזהות ולנתח תעבורת רשת נכנסת ויוצאת עבור פעילויות חשודות. IDS משיג זאת על ידי:
לאחר זיהוי פרצת אבטחה, וירוס או שגיאת תצורה, IDS יוציא משתמש פוגע מהרשת וישלח אזהרה לאנשי האבטחה.
למרות היתרון שלו, ל-IDS יש חסרונות אינהרנטיים. מכיוון שהוא משתמש בחתימות חדירות מבוססות כדי למצוא התקפות. איומים שהתגלו לאחרונה או איומים של יום אפס עשויים להישאר בלתי מזוהים. IDS מזהה רק התקפות פעילות, לא תקיפות נכנסות. יש צורך במערכת למניעת חדירה כדי לחסום את אלה.
מערכת למניעת חדירה (IPS) משלימה הגדרת IDS על ידי סקירה יזומה של תעבורה נכנסת כדי למנוע בקשות זדוניות. הגדרת IPS סטנדרטית משתמשת בחומת אש ובסינון תעבורה פתרונות להגנה על יישומים.
IPS נמנע מהתקפות על ידי הפלת מנות זדוניות, חסימת כתובות IP מפרות והתראה לצוות האבטחה על סיכונים. מכשיר זה משתמש בדרך כלל במסד נתונים קיים של זיהוי חתימות וניתן לעצב אותו כדי לזהות התקפות מבוססות תעבורה ואי סדרים בהתנהגות.
למרות שחסימה יעילה של וקטורי תקיפה ידועים, לחלק ממערכות ה-IPS יש מגבלות. אלה נגרמים בדרך כלל מהסתמכות יתר על חוקים מוגדרים מראש, מה שהופך אותם לפגיעים ל-false positive.
ISO פרסמה תקן זה בשנת 2015. ISO 27039 פורסם כתחליף ל-ISO/IEC 18043:2006. בשנת 2016, התיקון הטכני שינה את תיאור התקן, והחזיר את המילים החסרות במיוחד "ומניעה".
ISO/IEC 18043:2006 הוציא הנחיות לארגון שבוחר לספק זיהוי פריצות בתשתית ה-IT שלו. זה היה 'איך לעשות' עבור מנהלי מערכת ומשתמשים שרצו:
ISO/IEC 18043:2006 סיפק מידע שעזר לקדם שיתוף פעולה בין ארגונים המשתמשים ב-IDS. המבנה הקל על ארגונים לשתף מידע על פריצות חוצות גבולות ארגוניים.
תקן ISO/IEC 18043:2006 מסופק:
התחלנו להשתמש בגיליונות אלקטרוניים וזה היה סיוט. עם פתרון ISMS.online, כל העבודה הקשה הייתה קלה.
לשתי המערכות יש יתרונות וחסרונות. ISO 27039 מכיל מידע והנחיה ספציפיים ליישום ויישום מוצלחים של IDPS עבור כל הארגונים.
למרות שבדרך כלל יחידות מקושרות אינן מבחינות בשינוי כלשהו, ה-IPS מבטיח פחות הפרעות למערכות ארגוניות פחות אירועי אבטחה.
IPS עוקב רק אחר התנהגות הרשת בזמן שהיא נוקטת פעולה, ומגן על פרטיות משתמשי הרשת. IPS מתאם בין תעבורת רשת לתעבורה זדונית מבוססת, אך אינו מאחסן או ניגש לתוכן.
ה-IPS מצייתת לרשימה מבוססת מוניטין של אתרים ודומיינים חשודים בזדון המשמשים באופן יזום לאבטחת החברה. לדוגמה: אם חבר צוות לוחץ על קונקשן בדוא"ל דיוג או מודעת תוכנה זדונית עבור אתר ברשימת ההכחשה של IPS של אתרים זדוניים מזוהים, המערכת תחסום את התנועה, והעובד יראה מסך ריק.
IPS מציעה הגנה מפני התקפות אפס יום, מפחיתה התקפות סיסמאות בכוח גס, ומציעה הגנה מפני סיכונים לנגישות, כגון ניסיונות DDoS ו-DoS. לדוגמה, נניח שפושע מנסה לקבל גישה לחשבון בכוח גס (למשל ניסיונות כניסה חוזרים ונשנים). ה-IPS יעקוב אחר קנה המידה של תנועות הנתונים, יזהה דפוסים חשודים וימנע גישה.
IPS מזהה ומגיב לאיומים ייחודיים, מה שמאפשר למוסדות להגיב לאיומים מוגדרים על החברה.
עם זאת, ליישום IDS יש יתרונות משלו. הטבות אלו כוללות:
תקן ISO 27039 עוזר לארגונים:
מנסה להיפגש ISO 27001 דרישות, במיוחד נספח א.16:
מנסה לעמוד ביעדי האבטחה הבאים של ISO 27002
עם זאת, ארגון צריך להבין שהטמעת IDPS אינה גישה אחת או מלאה לפתרון הדרישות. יתרה מכך, התקן הבינלאומי הזה גם לא נועד כהנחיות להערכת תאימות כלשהי, כגון הסמכת ISMS.
סעיף 1: היקף
סעיף 2: מונחים והגדרות
סעיף 3: רקע
סעיף 4: כללי
סעיף 5: בחירה
סעיף 6: פריסה
סעיף 7: פעולות
לתקן ISO 27039 יש שבעה סעיפים וספח אחד.
שלושה חלקים עיקריים מהווים את עיקר התקן:
נספח א': מערכת זיהוי ומניעת חדירות (IDPS): מסגרת וסוגיות שיש לקחת בחשבון
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה