ISO 27039

ISO 27039 beskriver valg, distribusjon og drift av inntrengningsdeteksjons- og forebyggingssystemer (IDPS). Vi skal utforske hva det betyr.

Hva er ISO 27039?

ISO / IEC 27039:2015 gir anbefalinger for å hjelpe organisasjoner med implementering av inntrengningsdeteksjon og -forebygging (IDPS) systemer. ISO 27039 skisserer IDPS valg, implementering og prosesser. Standarden tilbyr også kontekstinformasjon for disse retningslinjene. Deteksjon og forebygging av inntrenging er to brede ord som definerer praksis som brukes for å forhindre angrep og unngå nye trusler.

Deteksjon av inntrenging er et reaktivt tiltak som oppdager og reduserer pågående trusler ved hjelp av inntrengningsdeteksjon. Det er vant til:

• Oppdag skadelig programvare (f.eks. trojanere, bakdører, rootkits)
• Oppdage sosiale ingeniørangrep som manipulerer brukere til å avsløre konfidensielle detaljer (f.eks. phishing)

Forebygging av inntrenging er et proaktivt sikkerhetstiltak som bruker et inntrengningsforebyggende system for å eliminere enhetsangrep. Det inkluderer:

• Eksterne filinkluderinger som muliggjør injeksjon av skadelig programvare,
• SQL-injeksjoner som brukes til å navigere i firmadatabaser.

Godt utformet, implementert, konfigurert, kontrollert og operert IDPS, som:

• Automatisering optimerer sikkerhetseksperter som må spore, evaluere og reagere så godt de kan på nettverkssikkerhetshendelser;
• Automatisering har en tendens til å fremskynde identifikasjon og reaksjon på angrep, spesielt vanlige typer angrep som entydig kan identifiseres via unike signaturer;
• De beroliger styring som sikkerhetsproblemer på nettverk og nettverksenheter oppdages og reduseres.

Standarden har veiledning og instruksjoner om implementering av en IDPS.

Hva er inntrengningsdeteksjons- og forebyggingssystemer?

Organisasjoner bør ikke bare vite hva, hvor og hvordan nettverket, enheten eller programmet deres ble inntrengt. De bør også vite hvilken den misbrukte sårbarheten og hvilke forholdsregler eller implementere effektive risikobehandlinger for å unngå fremtidige problemer.

Organisasjoner kan også identifisere og forhindre cyberinntrenging. Denne metoden innebærer en undersøkelse av nettverkstrafikk og revisjon spor for kjente angrep eller unike mønstre som vanligvis innebærer ondsinnet hensikt. På midten av 1990-tallet begynte selskaper å bruke inntrengningsdeteksjon og -forebygging (IDPS) systemer for å møte disse behovene.

Den generelle bruken av IDPS fortsetter å vokse med et bredere utvalg av IDPS-enheter som gjøres tilgjengelig for å møte et økende nivå av organisatoriske krav for sofistikert inntrengningsdeteksjon.

Intrusion Detection Systems er for det meste automatiserte systemer som identifiserer hackers angrep og inntrenging i et nettverk eller en enhet og slår alarm. Forebygging av inntrenging Systemer tar automatiseringen et steg videre ved automatisk å reagere på visse metoder for identifiserte angrep, for eksempel å stenge spesifikke nettverksporter, via en brannmur, for å blokkere identifisert hackertrafikk. IDPS refererer til begge typer av dette.

Et Incident Detection System (IDS) er et maskinvare- eller programvareprogram som bruker kjente inntrengningssignaturer for å identifisere og analysere inngående og utgående nettverkstrafikk for mistenkelige aktiviteter. En IDS oppnår dette ved å:

• Sammenligning av systemfiler med skadevaresignaturer.
• Skanneprosesser for å identifisere farlige mønstre.
• Spor brukerhandlinger for ondsinnet hensikt.
• Kontroller enhetskonfigurasjoner og parametere.

Ved å oppdage et sikkerhetsbrudd, virus eller konfigurasjonsfeil, vil en IDS sparke en fornærmende bruker av nettverket og sende en advarsel til sikkerhetspersonell.

Til tross for fordelen har en IDS iboende ulemper. Siden den bruker etablerte inntrengningssignaturer for å finne angrep. Nyoppdagede eller nulldagers trusler kan forbli uoppdaget. En IDS oppdager bare aktive angrep, ikke innkommende angrep. Et inntrengningsforebyggende system er nødvendig for å blokkere disse.

Et Intrusion Prevention System (IPS) kompletterer et IDS-oppsett ved å proaktivt gjennomgå innkommende trafikk for å unngå ondsinnede forespørsler. Et standard IPS-oppsett bruker brannmurer og trafikkfiltrering løsninger for å beskytte applikasjoner.

En IPS unngår angrep ved å slippe ondsinnede pakker, blokkere krenkende IP-er og varsle sikkerhetspersonalet om risikoer. Denne enheten bruker vanligvis en eksisterende signaturgjenkjenningsdatabase og kan utformes for å oppdage trafikkbaserte angrep og atferdsuregelmessigheter.

Selv om de effektivt blokkerer kjente angrepsvektorer, har noen IPS-systemer begrensninger. Disse er vanligvis indusert av overdreven avhengighet av forhåndsdefinerte lover, noe som gjør dem sårbare for falske positive.

Historien til ISO/IEC 27039:2015

ISO ga ut denne standarden i 2015. ISO 27039 ble publisert som en erstatning for ISO/IEC 18043:2006. I 2016 reviderte den tekniske rettelsen beskrivelsen av standarden, og gjeninnførte de spesielt manglende ordene "og forebygging".

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 ga retningslinjer til en bedrift som velger å tilby inntrengningsdeteksjon i IT-infrastrukturen. Det var en "hvordan" for administratorer og brukere som ønsket:

• For å forstå kostnadene og fordelene ved en IDS
• Å etablere en policy og implementeringsplan for IDS
• For å effektivt kontrollere utgangene til IDS
• Å innlemme overvåking av inntrenging i sikkerhetsprosedyrene til organisasjonen
• Å vurdere juridiske og personvernhensyn som er involvert i innføringen av IDS

ISO/IEC 18043:2006 ga informasjon som bidro til å fremme samarbeid mellom organisasjoner som bruker IDS. Strukturen gjorde det lettere for organisasjoner å dele informasjon om inntrenging som krysser organisasjonsgrenser.

ISO/IEC 18043:2006 standard gitt:

• En kort beskrivelse av inntrengningsdeteksjonsprosessen
• En forklaring på hva IDS kan og ikke kan gjøre
• En sjekkliste som hjalp til med å finne de beste IDS-funksjonene for et bestemt IT-miljø
• En definisjon av ulike distribusjonsstrategier
• Råd om håndtering av IDS-varsler
• En forklaring på ledelsesmessige og juridiske bekymringer

Hva er fordelene med ISO 27039?

Begge systemene har fordeler og ulemper. ISO 27039 inneholder spesifikk informasjon og veiledning for vellykket implementering og anvendelse av IDPS-er for alle organisasjoner.

Færre sikkerhetshendelser.

Selv om vanligvis koblede enheter ikke merker noen endring, sørger IPS for mindre interferens for organisasjonssystemer og færre sikkerhetshendelser.

Logger selektivt og beskytter personvernet

IPS sporer bare nettverksatferd når den tar handling, og beskytter nettverksbrukeres personvern. IPS korrelerer nettverkstrafikk med etablert ondsinnet trafikk, men lagrer eller får ikke tilgang til innholdet.

Anerkjent administrert sikkerhet

IPS følger en omdømmebasert liste over mistenkte ondsinnede nettsteder og domener som brukes proaktivt for å sikre selskapet. For eksempel: Hvis et medlem av personalet klikker på en forbindelse i en phishing-e-post eller en malware-annonse for et nettsted på IPS-nektlisten over identifiserte ondsinnede nettsteder, vil systemet blokkere trafikken, og den ansatte vil se en tom skjerm.

Multi-trussel sikkerhet

IPS tilbyr null-dagers angrepsbeskyttelse, reduserer brute force passordangrep, og tilbyr beskyttelse mot risikoer for tilgjengelighet, for eksempel DDoS og DoS-forsøk. Anta for eksempel at en kriminell prøver å få tilgang til en konto med brute force (f.eks. gjentatte påloggingsforsøk). IPS vil spore omfanget av databevegelser, identifisere mistenkelige mønstre og nekte tilgang.

Fare for dynamisk respons

IPS identifiserer og reagerer på unike trusler, slik at institusjoner kan reagere på definerte trusler mot selskapet.

Implementering av en IDS har imidlertid sine egne fordeler. Disse fordelene inkluderer:

• Ved å bruke signaturdatabasen sikrer IDS rask og effektiv identifisering av identifiserte anomalier med lav sjanse for falske alarmer.
• Den analyserer ulike typer trusler, oppdager trender med skadelig innhold og hjelper administratorer med å gjøre opp, administrere og håndheve tilstrekkelige kontroller.
• Det bidrar til å sikre reguleringshåndhevelse og overholde sikkerhetsforskrifter, da det gir større synlighet over hele nettverket.
• Mens IDS vanligvis er en passiv enhet, mens de oppdager og genererer advarsler, kan noen aktive IDS blokkere IP-adresser eller forhindre tilgang til ressurser når en uregelmessighet oppdages.

Hvem kan implementere ISO 27039?

ISO 27039-standarden hjelper organisasjoner:

Prøver å møtes ISO 27001 krav, spesifikt Vedlegg A.16:

• Organisasjonen implementerer prosedyrer og andre tiltak som er i stand til rask identifisering og svar på sikkerhetshendelser
• For bedre å oppdage forsøkte og vellykkede sikkerhetsbrudd og hendelser, skal selskapet gjennomføre overvåkings- og evalueringsprosedyrer og andre kontroller

Prøver å oppfylle følgende sikkerhetsmål ISO 27002

• Oppdage ulovlig informasjonsbehandlingsaktiviteter;
• Overvåkingssystemer med informasjonssikkerhetsaktiviteter dokumentert, ved å bruke operatørlogger og feillogging for å oppdage enhetsproblemer
• Tar sikte på å oppfylle alle gjeldende juridiske kriterier for sine overvåkings- og rapporteringsaktiviteter
• Systemovervåking for å bekrefte effektiviteten av kontroller implementert og verifisere samsvar med en tilgangspolicy modell

Imidlertid en organisasjon bør forstå at implementering av IDPS ikke er en enkelt eller fullstendig tilnærming for å løse kravene. Dessuten er denne internasjonale standarden heller ikke ment som retningslinjer for noen samsvarsevaluering, som f.eks ISMS-sertifisering.