ISO 27039

ISO 27039 beskriver udvælgelsen, implementeringen og driften af ​​indtrængningsdetektions- og forebyggelsessystemer (IDPS). Vi vil undersøge, hvad det betyder.

Hvad er ISO 27039?

ISO / IEC 27039:2015 giver anbefalinger til at hjælpe organisationer med implementeringen af ​​indtrængningsdetektion og -forebyggelse (IDPS) systemer. ISO 27039 beskriver IDPS udvælgelse, implementering og processer. Standarden tilbyder også kontekstinformation for disse retningslinjer. Detektion og forebyggelse af indtrængen er to brede ord, der definerer praksis, der bruges til at forhindre angreb og undgå nye trusler.

Registrering af indtrængen er en reaktiv foranstaltning, der detekterer og afbøder igangværende trusler ved hjælp af indtrængningsdetektion. Det er vant til:

• Registrer malware (f.eks. trojanske heste, bagdøre, rootkits)
• Registrering af sociale ingeniørmæssige overgreb, der manipulerer brugere til at afsløre fortrolige detaljer (f.eks. phishing)

Forebyggelse af indtrængen er en proaktiv sikkerhedsforanstaltning, der bruger et system til forebyggelse af indtrængen til at eliminere enhedsangreb. Det omfatter:

• Fjernfilinkluderinger, der muliggør malwareinjektion,
• SQL-injektioner bruges til at navigere i firmadatabaser.

Veldesignet, implementeret, konfigureret, kontrolleret og drevet IDPS, som:

• Automatisering optimerer sikkerhedsprofessionelle, der skal spore, evaluere og reagere så godt de kan på netværkssikkerhedshændelser;
• Automatisering har en tendens til at fremskynde identifikation og reaktion på angreb, især almindelige typer angreb, der entydigt kan identificeres via unikke signaturer;
• De beroliger håndtering af sikkerhedsproblemer på netværk og netværksenheder detekteres og afbødes.

Standarden har vejledning og instruktioner om implementering af en IDPS.

Hvad er systemer til registrering af indtrængen og forebyggelse?

Organisationer skal ikke bare vide, hvad, hvor og hvordan deres netværk, enhed eller program blev trængt ind. De bør også vide, hvilken den misbrugte sårbarhed og hvilke forholdsregler eller implementere effektive risikobehandlinger for at undgå fremtidige problemer.

Organisationer kan også identificere og forhindre cyberindtrængen. Denne metode involverer en undersøgelse af netværkstrafik og revision spor efter kendte angreb eller unikke mønstre, der generelt indebærer ondsindet hensigt. I midten af ​​1990'erne begyndte virksomheder at bruge systemer til registrering og forebyggelse af indtrængen (IDPS) for at imødekomme disse behov.

Den generelle brug af IDPS fortsætter med at vokse med et bredere udvalg af IDPS-enheder, der gøres tilgængelige for at imødekomme et voksende niveau af organisatoriske krav til sofistikeret indtrængningsdetektion.

Intrusion Detection Systems er for det meste automatiserede systemer, der identificerer hackers angreb og indtrængen i et netværk eller en enhed og slår alarm. Forebyggelse af indtrængen Systemer tager automatiseringen et skridt videre ved automatisk at reagere på visse metoder til identificeret angreb, såsom lukning af specifikke netværksporte, via en firewall, for at blokere identificeret hackertrafik. IDPS henviser til begge typer af dette.

Et Incident Detection System (IDS) er et hardware- eller softwareprogram, der bruger kendte indtrængningssignaturer til at identificere og analysere indgående og udgående netværkstrafik for mistænkelige aktiviteter. En IDS opnår dette ved at:

• Sammenligning af systemfiler med malware-signaturer.
• Scanningsprocesser for at identificere farlige mønstre.
• Spor brugerhandlinger for ondsindede hensigter.
• Styr enhedskonfigurationer og parametre.

Efter at have opdaget et sikkerhedsbrud, virus eller konfigurationsfejl, vil en IDS sparke en fornærmende bruger ud af netværket og sende en advarsel til sikkerhedspersonalet.

På trods af sin fordel har en IDS iboende ulemper. Da den bruger etablerede indtrængningssignaturer til at finde angreb. Nyopdagede eller nul-dages trusler kan forblive uopdagede. En IDS registrerer kun aktive angreb, ikke indgående angreb. Et indtrængningsforebyggelsessystem er nødvendigt for at blokere disse.

Et Intrusion Prevention System (IPS) supplerer en IDS-opsætning ved proaktivt at gennemgå indgående trafik for at undgå ondsindede anmodninger. En standard IPS-opsætning bruger firewalls og trafikfiltrering løsninger til at beskytte applikationer.

En IPS undgår angreb ved at droppe ondsindede pakker, blokere krænkende IP'er og advare sikkerhedspersonalet om risici. Denne enhed bruger typisk en allerede eksisterende signaturgenkendelsesdatabase og kan designes til at opdage trafikbaserede angreb og adfærdsuregelmæssigheder.

Selvom de effektivt blokerer kendte angrebsvektorer, har nogle IPS-systemer begrænsninger. Disse er normalt induceret af overdreven afhængighed af foruddefinerede love, hvilket gør dem sårbare over for falske positive.

Historien om ISO/IEC 27039:2015

ISO udgav denne standard i 2015. ISO 27039 blev offentliggjort som en erstatning for ISO/IEC 18043:2006. I 2016 reviderede den tekniske rettelse beskrivelsen af ​​standarden og genindsatte de særligt manglende ord "og forebyggelse".

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 udstedte retningslinjer til en virksomhed, der vælger at levere indtrængendetektion i sin it-infrastruktur. Det var en 'hvordan' for administratorer og brugere, der ønskede:

• At forstå omkostningerne og fordelene ved en IDS
• At etablere en politik og implementeringsplan for IDS
• For effektivt at kontrollere output fra IDS
• At indarbejde overvågning af indtrængen i organisationens sikkerhedsprocedurer
• At overveje de juridiske og privatlivsmæssige bekymringer, der er involveret i indførelsen af ​​IDS

ISO/IEC 18043:2006 gav oplysninger, der hjalp med at fremme samarbejdet mellem organisationer, der bruger IDS. Strukturen gjorde det nemmere for organisationer at dele information om indtrængen på tværs af organisationsgrænser.

ISO/IEC 18043:2006 standard leveret:

• En kort beskrivelse af indtrængningsdetektionsprocessen
• En forklaring på, hvad IDS kan og ikke kan
• En tjekliste, der hjalp med at bestemme de bedste IDS-funktioner til et bestemt it-miljø
• En definition af forskellige implementeringsstrategier
• Rådgivning om håndtering af IDS-advarsler
• En forklaring på ledelsesmæssige og juridiske bekymringer

Hvad er fordelene ved ISO 27039?

Begge systemer har fordele og ulemper. ISO 27039 indeholder specifik information og vejledning til vellykket implementering og anvendelse af IDPS'er for alle organisationer.

Færre sikkerhedshændelser.

Selvom typisk forbundne enheder ikke bemærker nogen ændring, sikrer IPS mindre interferens for organisationens systemer og færre sikkerhedshændelser.

Logning selektivt og beskyttelse af privatlivets fred

IPS sporer kun netværksadfærd, mens den skrider til handling, hvilket beskytter netværksbrugeres privatliv. IPS korrelerer netværkstrafik med etableret ondsindet trafik, men gemmer eller får ikke adgang til indholdet.

Velrenommeret administreret sikkerhed

IPS overholder en omdømmebaseret liste over formodede ondsindede websteder og domæner, der bruges proaktivt til at sikre virksomheden. For eksempel: Hvis et medlem af personalet klikker på en forbindelse i en phishing-e-mail eller en malware-annonce for et websted på IPS-afvisningslisten over identificerede ondsindede websteder, vil systemet blokere trafikken, og medarbejderen vil se en tom skærm.

Multi-trussel sikkerhed

IPS tilbyder nul-dages angrebsbeskyttelse, reducerer brute force password-angreb og tilbyder beskyttelse mod risici for tilgængelighed, såsom DDoS- og DoS-forsøg. Antag for eksempel, at en kriminel forsøger at få adgang til en konto med rå magt (f.eks. gentagne loginforsøg). IPS vil spore omfanget af databevægelser, identificere mistænkelige mønstre og nægte adgang.

Fare for dynamisk reaktion

IPS identificerer og reagerer på unikke trusler, hvilket gør det muligt for institutioner at reagere på definerede trusler mod virksomheden.

Implementering af en IDS har dog sine egne fordele. Disse fordele omfatter:

• Ved hjælp af signaturdatabasen sikrer IDS hurtig og effektiv identifikation af identificerede uregelmæssigheder med en lav chance for falske alarmer.
• Den analyserer forskellige typer trusler, registrerer tendenser til skadeligt indhold og hjælper administratorer med at afgøre, administrere og håndhæve tilstrækkelig kontrol.
• Det hjælper med at sikre reguleringshåndhævelse og overholde sikkerhedsbestemmelser, da det giver større synlighed på tværs af hele netværket.
• Mens IDS normalt er en passiv enhed, mens de registrerer og genererer advarsler, kan nogle aktive IDS blokere IP-adresser eller forhindre adgang til ressourcer, når der opdages en uregelmæssighed.

Hvem kan implementere ISO 27039?

ISO 27039-standarden hjælper organisationer:

Forsøger at mødes ISO 27001 krav, specifikt Bilag A.16:

• Organisationen implementerer procedurer og andre foranstaltninger, der er i stand til hurtig identifikation og svar på sikkerhedshændelser
• For bedre at opdage forsøg på og succesfulde sikkerhedsbrud og hændelser skal virksomheden udføre overvågnings- og evalueringsprocedurer og andre kontroller

Forsøger at opfylde følgende sikkerhedsmål ISO 27002

• Opdagelse af ulovlig informationsbehandlingsaktiviteter;
• Overvågningssystemer med informationssikkerhedsaktiviteter dokumenteret, ved hjælp af operatørlogfiler og fejllogning til at opdage enhedsproblemer
• Formålet er at opfylde alle gældende juridiske kriterier for dets overvågnings- og rapporteringsaktiviteter
• Systemovervågning for at bekræfte effektiviteten af ​​implementerede kontroller og verificere overholdelse af en adgangspolitik model

Imidlertid en organisation bør forstå at implementering af IDPS ikke er en enkelt eller komplet tilgang til at løse kravene. Desuden er denne internationale standard heller ikke ment som retningslinjer for enhver compliance-evaluering, som f.eks ISMS certificering.