ISO 27039 beskriver valg, distribusjon og drift av inntrengningsdeteksjons- og forebyggingssystemer (IDPS). Vi skal utforske hva det betyr.
ISO / IEC 27039:2015 gir anbefalinger for å hjelpe organisasjoner med implementering av inntrengningsdeteksjon og -forebygging (IDPS) systemer. ISO 27039 skisserer IDPS valg, implementering og prosesser. Standarden tilbyr også kontekstinformasjon for disse retningslinjene. Deteksjon og forebygging av inntrenging er to brede ord som definerer praksis som brukes for å forhindre angrep og unngå nye trusler.
Deteksjon av inntrenging er et reaktivt tiltak som oppdager og reduserer pågående trusler ved hjelp av inntrengningsdeteksjon. Det er vant til:
Forebygging av inntrenging er et proaktivt sikkerhetstiltak som bruker et inntrengningsforebyggende system for å eliminere enhetsangrep. Det inkluderer:
Godt utformet, implementert, konfigurert, kontrollert og operert IDPS, som:
Standarden har veiledning og instruksjoner om implementering av en IDPS.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
Organisasjoner bør ikke bare vite hva, hvor og hvordan nettverket, enheten eller programmet deres ble inntrengt. De bør også vite hvilken den misbrukte sårbarheten og hvilke forholdsregler eller implementere effektive risikobehandlinger for å unngå fremtidige problemer.
Organisasjoner kan også identifisere og forhindre cyberinntrenging. Denne metoden innebærer en undersøkelse av nettverkstrafikk og revisjon spor for kjente angrep eller unike mønstre som vanligvis innebærer ondsinnet hensikt. På midten av 1990-tallet begynte selskaper å bruke inntrengningsdeteksjon og -forebygging (IDPS) systemer for å møte disse behovene.
Den generelle bruken av IDPS fortsetter å vokse med et bredere utvalg av IDPS-enheter som gjøres tilgjengelig for å møte et økende nivå av organisatoriske krav for sofistikert inntrengningsdeteksjon.
Intrusion Detection Systems er for det meste automatiserte systemer som identifiserer hackers angrep og inntrenging i et nettverk eller en enhet og slår alarm. Forebygging av inntrenging Systemer tar automatiseringen et steg videre ved automatisk å reagere på visse metoder for identifiserte angrep, for eksempel å stenge spesifikke nettverksporter, via en brannmur, for å blokkere identifisert hackertrafikk. IDPS refererer til begge typer av dette.
Et Incident Detection System (IDS) er et maskinvare- eller programvareprogram som bruker kjente inntrengningssignaturer for å identifisere og analysere inngående og utgående nettverkstrafikk for mistenkelige aktiviteter. En IDS oppnår dette ved å:
Ved å oppdage et sikkerhetsbrudd, virus eller konfigurasjonsfeil, vil en IDS sparke en fornærmende bruker av nettverket og sende en advarsel til sikkerhetspersonell.
Til tross for fordelen har en IDS iboende ulemper. Siden den bruker etablerte inntrengningssignaturer for å finne angrep. Nyoppdagede eller nulldagers trusler kan forbli uoppdaget. En IDS oppdager bare aktive angrep, ikke innkommende angrep. Et inntrengningsforebyggende system er nødvendig for å blokkere disse.
Et Intrusion Prevention System (IPS) kompletterer et IDS-oppsett ved å proaktivt gjennomgå innkommende trafikk for å unngå ondsinnede forespørsler. Et standard IPS-oppsett bruker brannmurer og trafikkfiltrering løsninger for å beskytte applikasjoner.
En IPS unngår angrep ved å slippe ondsinnede pakker, blokkere krenkende IP-er og varsle sikkerhetspersonalet om risikoer. Denne enheten bruker vanligvis en eksisterende signaturgjenkjenningsdatabase og kan utformes for å oppdage trafikkbaserte angrep og atferdsuregelmessigheter.
Selv om de effektivt blokkerer kjente angrepsvektorer, har noen IPS-systemer begrensninger. Disse er vanligvis indusert av overdreven avhengighet av forhåndsdefinerte lover, noe som gjør dem sårbare for falske positive.
ISO ga ut denne standarden i 2015. ISO 27039 ble publisert som en erstatning for ISO/IEC 18043:2006. I 2016 reviderte den tekniske rettelsen beskrivelsen av standarden, og gjeninnførte de spesielt manglende ordene "og forebygging".
ISO/IEC 18043:2006 ga retningslinjer til en bedrift som velger å tilby inntrengningsdeteksjon i IT-infrastrukturen. Det var en "hvordan" for administratorer og brukere som ønsket:
ISO/IEC 18043:2006 ga informasjon som bidro til å fremme samarbeid mellom organisasjoner som bruker IDS. Strukturen gjorde det lettere for organisasjoner å dele informasjon om inntrenging som krysser organisasjonsgrenser.
ISO/IEC 18043:2006 standard gitt:
Last ned din gratis guide
for å strømlinjeforme din Infosec
Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
Begge systemene har fordeler og ulemper. ISO 27039 inneholder spesifikk informasjon og veiledning for vellykket implementering og anvendelse av IDPS-er for alle organisasjoner.
Selv om vanligvis koblede enheter ikke merker noen endring, sørger IPS for mindre interferens for organisasjonssystemer og færre sikkerhetshendelser.
IPS sporer bare nettverksatferd når den tar handling, og beskytter nettverksbrukeres personvern. IPS korrelerer nettverkstrafikk med etablert ondsinnet trafikk, men lagrer eller får ikke tilgang til innholdet.
IPS følger en omdømmebasert liste over mistenkte ondsinnede nettsteder og domener som brukes proaktivt for å sikre selskapet. For eksempel: Hvis et medlem av personalet klikker på en forbindelse i en phishing-e-post eller en malware-annonse for et nettsted på IPS-nektlisten over identifiserte ondsinnede nettsteder, vil systemet blokkere trafikken, og den ansatte vil se en tom skjerm.
IPS tilbyr null-dagers angrepsbeskyttelse, reduserer brute force passordangrep, og tilbyr beskyttelse mot risikoer for tilgjengelighet, for eksempel DDoS og DoS-forsøk. Anta for eksempel at en kriminell prøver å få tilgang til en konto med brute force (f.eks. gjentatte påloggingsforsøk). IPS vil spore omfanget av databevegelser, identifisere mistenkelige mønstre og nekte tilgang.
IPS identifiserer og reagerer på unike trusler, slik at institusjoner kan reagere på definerte trusler mot selskapet.
Implementering av en IDS har imidlertid sine egne fordeler. Disse fordelene inkluderer:
ISO 27039-standarden hjelper organisasjoner:
Prøver å møtes ISO 27001 krav, spesifikt Vedlegg A.16:
Prøver å oppfylle følgende sikkerhetsmål ISO 27002
Imidlertid en organisasjon bør forstå at implementering av IDPS ikke er en enkelt eller fullstendig tilnærming for å løse kravene. Dessuten er denne internasjonale standarden heller ikke ment som retningslinjer for noen samsvarsevaluering, som f.eks ISMS-sertifisering.
Punkt 1: Omfang
Punkt 2: Begreper og definisjoner
Klausul 3: Bakgrunn
Klausul 4: Generelt
Klausul 5: Utvalg
Klausul 6: Implementering
Punkt 7: Drift
ISO 27039 har syv klausuler og ett vedlegg.
Tre hoveddeler utgjør standardens bulk:
Vedlegg A: System for inntrenging deteksjon og forebygging (IDPS): Rammeverk og problemstillinger som må vurderes
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang