ISO 27039 beskriver udvælgelsen, implementeringen og driften af indtrængningsdetektions- og forebyggelsessystemer (IDPS). Vi vil undersøge, hvad det betyder.
ISO / IEC 27039:2015 giver anbefalinger til at hjælpe organisationer med implementeringen af indtrængningsdetektion og -forebyggelse (IDPS) systemer. ISO 27039 beskriver IDPS udvælgelse, implementering og processer. Standarden tilbyder også kontekstinformation for disse retningslinjer. Detektion og forebyggelse af indtrængen er to brede ord, der definerer praksis, der bruges til at forhindre angreb og undgå nye trusler.
Registrering af indtrængen er en reaktiv foranstaltning, der detekterer og afbøder igangværende trusler ved hjælp af indtrængningsdetektion. Det er vant til:
Forebyggelse af indtrængen er en proaktiv sikkerhedsforanstaltning, der bruger et system til forebyggelse af indtrængen til at eliminere enhedsangreb. Det omfatter:
Veldesignet, implementeret, konfigureret, kontrolleret og drevet IDPS, som:
Standarden har vejledning og instruktioner om implementering af en IDPS.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Organisationer skal ikke bare vide, hvad, hvor og hvordan deres netværk, enhed eller program blev trængt ind. De bør også vide, hvilken den misbrugte sårbarhed og hvilke forholdsregler eller implementere effektive risikobehandlinger for at undgå fremtidige problemer.
Organisationer kan også identificere og forhindre cyberindtrængen. Denne metode involverer en undersøgelse af netværkstrafik og revision spor efter kendte angreb eller unikke mønstre, der generelt indebærer ondsindet hensigt. I midten af 1990'erne begyndte virksomheder at bruge systemer til registrering og forebyggelse af indtrængen (IDPS) for at imødekomme disse behov.
Den generelle brug af IDPS fortsætter med at vokse med et bredere udvalg af IDPS-enheder, der gøres tilgængelige for at imødekomme et voksende niveau af organisatoriske krav til sofistikeret indtrængningsdetektion.
Intrusion Detection Systems er for det meste automatiserede systemer, der identificerer hackers angreb og indtrængen i et netværk eller en enhed og slår alarm. Forebyggelse af indtrængen Systemer tager automatiseringen et skridt videre ved automatisk at reagere på visse metoder til identificeret angreb, såsom lukning af specifikke netværksporte, via en firewall, for at blokere identificeret hackertrafik. IDPS henviser til begge typer af dette.
Et Incident Detection System (IDS) er et hardware- eller softwareprogram, der bruger kendte indtrængningssignaturer til at identificere og analysere indgående og udgående netværkstrafik for mistænkelige aktiviteter. En IDS opnår dette ved at:
Efter at have opdaget et sikkerhedsbrud, virus eller konfigurationsfejl, vil en IDS sparke en fornærmende bruger ud af netværket og sende en advarsel til sikkerhedspersonalet.
På trods af sin fordel har en IDS iboende ulemper. Da den bruger etablerede indtrængningssignaturer til at finde angreb. Nyopdagede eller nul-dages trusler kan forblive uopdagede. En IDS registrerer kun aktive angreb, ikke indgående angreb. Et indtrængningsforebyggelsessystem er nødvendigt for at blokere disse.
Et Intrusion Prevention System (IPS) supplerer en IDS-opsætning ved proaktivt at gennemgå indgående trafik for at undgå ondsindede anmodninger. En standard IPS-opsætning bruger firewalls og trafikfiltrering løsninger til at beskytte applikationer.
En IPS undgår angreb ved at droppe ondsindede pakker, blokere krænkende IP'er og advare sikkerhedspersonalet om risici. Denne enhed bruger typisk en allerede eksisterende signaturgenkendelsesdatabase og kan designes til at opdage trafikbaserede angreb og adfærdsuregelmæssigheder.
Selvom de effektivt blokerer kendte angrebsvektorer, har nogle IPS-systemer begrænsninger. Disse er normalt induceret af overdreven afhængighed af foruddefinerede love, hvilket gør dem sårbare over for falske positive.
ISO udgav denne standard i 2015. ISO 27039 blev offentliggjort som en erstatning for ISO/IEC 18043:2006. I 2016 reviderede den tekniske rettelse beskrivelsen af standarden og genindsatte de særligt manglende ord "og forebyggelse".
ISO/IEC 18043:2006 udstedte retningslinjer til en virksomhed, der vælger at levere indtrængendetektion i sin it-infrastruktur. Det var en 'hvordan' for administratorer og brugere, der ønskede:
ISO/IEC 18043:2006 gav oplysninger, der hjalp med at fremme samarbejdet mellem organisationer, der bruger IDS. Strukturen gjorde det nemmere for organisationer at dele information om indtrængen på tværs af organisationsgrænser.
ISO/IEC 18043:2006 standard leveret:
Download din gratis guide
at strømline din Infosec
Vi startede med at bruge regneark, og det var et mareridt. Med ISMS.online-løsningen blev alt det hårde arbejde gjort let.
Begge systemer har fordele og ulemper. ISO 27039 indeholder specifik information og vejledning til vellykket implementering og anvendelse af IDPS'er for alle organisationer.
Selvom typisk forbundne enheder ikke bemærker nogen ændring, sikrer IPS mindre interferens for organisationens systemer og færre sikkerhedshændelser.
IPS sporer kun netværksadfærd, mens den skrider til handling, hvilket beskytter netværksbrugeres privatliv. IPS korrelerer netværkstrafik med etableret ondsindet trafik, men gemmer eller får ikke adgang til indholdet.
IPS overholder en omdømmebaseret liste over formodede ondsindede websteder og domæner, der bruges proaktivt til at sikre virksomheden. For eksempel: Hvis et medlem af personalet klikker på en forbindelse i en phishing-e-mail eller en malware-annonce for et websted på IPS-afvisningslisten over identificerede ondsindede websteder, vil systemet blokere trafikken, og medarbejderen vil se en tom skærm.
IPS tilbyder nul-dages angrebsbeskyttelse, reducerer brute force password-angreb og tilbyder beskyttelse mod risici for tilgængelighed, såsom DDoS- og DoS-forsøg. Antag for eksempel, at en kriminel forsøger at få adgang til en konto med rå magt (f.eks. gentagne loginforsøg). IPS vil spore omfanget af databevægelser, identificere mistænkelige mønstre og nægte adgang.
IPS identificerer og reagerer på unikke trusler, hvilket gør det muligt for institutioner at reagere på definerede trusler mod virksomheden.
Implementering af en IDS har dog sine egne fordele. Disse fordele omfatter:
ISO 27039-standarden hjælper organisationer:
Forsøger at mødes ISO 27001 krav, specifikt Bilag A.16:
Forsøger at opfylde følgende sikkerhedsmål ISO 27002
Imidlertid en organisation bør forstå at implementering af IDPS ikke er en enkelt eller komplet tilgang til at løse kravene. Desuden er denne internationale standard heller ikke ment som retningslinjer for enhver compliance-evaluering, som f.eks ISMS certificering.
Punkt 1: Anvendelsesområde
Punkt 2: Begreber og definitioner
Punkt 3: Baggrund
Punkt 4: Generelt
Punkt 5: Udvælgelse
Punkt 6: Implementering
Punkt 7: Operationer
ISO 27039 har syv klausuler og et bilag.
Tre hoveddele udgør standardens bulk:
Bilag A: Intrusion Detection and Prevention System (IDPS): Rammer og spørgsmål, der skal overvejes
100 % af vores brugere opnår ISO 27001-certificering første gang