入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定,由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。
大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上,例如Web服务器,数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证,文件修改/删除和其他基于主机的信息,因此,将其划定为网络中设备的第二级保护。
起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统,然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施,然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。
在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的,在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web,邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后,第三级会包括位于非军事区中受保护私有网络的所有其他设备,它们是关键的或者包含诸如客户,金融和数据库的机密数据。如上所述,独立的设备组成了网络,并应受到保护,但是只有在第一次网络安全。
基于网络入侵检测系统的建议
基于网络的入侵检测系统应部署在外部DMZ部分,然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控,包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网,内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图,不仅是众所周知的网络连接,还包括所有已知的外部链接。
策略和工具推荐
对于入侵检测系统部署的额外建议应该包括事故应急手册,程序和工具的开发。由于入侵检测系统的工作像防盗报警,因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值,以便进一步的检查。针对事件调查的软件工具也应该推行,以确保这些工具可以用来研究,评估和报告结果。如果在任何时候因为恶意活动,公司被迫采取合法行动,这些工具将会伴随着政策和标准的建立而被用来提供证据。如果没有工具或者政策,该公司可能无法采取合法行动或者制止肇事者。
产品部署
基于网络的入侵检测系统应该立即部署在外部Internet网络部分,然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后,任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用,以确保这些系统同样也受到保护。
入侵检测系统的项目任务
虽然下面列出的项目任务具备一般性,但是通常对于入侵检测系统的部署有一定的行业标准。
开发管理系统:这应该意味着选择和基于网络的、基于主机的设备部署的数量,管理控制台的场所,以及整体基础设施。
开发记录系统:由于一个入侵检测系统可以产生大量的数据,应该配备记录系统以允许大量的数据收集,备份和恢复程序,以及存储设备。在这一阶段,硬件和软件可能都需要被关注。
制定审计策略:这个紧接着之前的两个阶段,因为在这一点上,传感器和记录程序的数量应该被选择。一个IDS如果没有IDS记录的审计策略就相当于完全没有IDS。日志中的关键事件要每日检查,其他内容每周检查一次。严重的级别应该制定跟踪并处理所有事件。这些级别上的行动将包括完成工作的详细描述,人们在调用和收集数据的记录,以防真正的恶意活动或者对于关键系统的入侵。
基于网络的IDS部署:这项工作应该尽快开始以收集数据。同样,基于网络的IDS应该作为行业和建议标准的首个任务被部署。这种方法应该分三个层次,首先是安全参数的最远延伸,然后是DMZ和其他设备。
基于主机的IDS部署:作为一个行业标准,基于主机的IDS部署应该在基于网络的IDS部署之后。这实际上可与基于网络的同时完成,但重点还是应该首先放在基于网络的IDS部署。
完善IDS政策:这一步应该在整个IDS部署过程之后完成。根据业务需要或者威胁而变更政策,因此这是一个项目中不断变化的部分。
完善书面标准:正因为与其他系统相关联,所以这里必须有适当的公司标准以确保符合整体标准。IDS标准应该在项目开始之前开始,并一直持续到完成。这些标准应该包括配置、政策使用、记录、审计和报告。
IDS以外的项目任务
众所周知,一个有效的入侵检测系统必须包括除了硬件和软件以外的支持。对于事件响应必须制定书面程序,防止在一段时间内如果有针对公司系统的有效恶意尝试。以下是除了IDS以外的推荐步骤。
事件响应:必须制定一个事件响应的过程以确保一旦针对公司系统的恶意企图发生时,有一个可参照的标准。这包括书面程序,实际下一步所做的,调用什么,何时调用,如何调用以及通知链。IDS要像系统背后的事件响应一样良好。当警报响起,假如有重要信息的损失,该公司需要设立一个全面的测试应变程序,以确保没有任何损失,或者记录。一个很好的事件响应程序将会确保数据的完整性,并确保其在检查中有完好的历史证据链。
法医工具包(Forensic toolkits):一旦事故发生时,许多产品都能够完成对数据的审核。这些工具应该加以研究来满足公司的要求并对现场工作人员进行使用的培训。
Gramm-Leach-Bliley 法案
第501和505(b) 规定了针对所有银行的指导方针,建立保护客户信息安全的标准。如果你的公司不是一个金融机构,你仍应该考虑下列标准信息安全实践中的通用性建议。
扫描和漏洞检测:扫描和漏洞检测应该由第三方来完成,以确保IDS和其他安全措施的执行情况。
政策审查:信息安全政策必须经常维护和审查,以确保准确性和与联邦标准的一致性。
防火墙和路由器审查:防火墙和路由器审查应该至少在每季度完成,以确保配置实用的准确和完整。
【编辑推荐】