호스트 기반 침입 방지

계층화된 보안은 컴퓨터 및 네트워크 보안에서 널리 받아들여지는 원칙입니다. 이 원칙의 기본 전제는 다양한 공격과 위협으로부터 리소스와 데이터를 보호하기 위해 여러 계층의 방어가 필요하다는 것입니다. 하나의 제품이나 하나의 기술이 가능한 모든 위협으로부터 방어하는 것은 불가능할 뿐만 아니라 여러 방어선을 보유하면 제품이 기존 위협을 우회한 침입자를 방어 외부에서 "잡을" 수 있습니다.

바이러스 백신 소프트웨어 , 방화벽, IDS(침입 탐지 시스템 ) 등과 같은 다양한 보안 계층에 많은 애플리케이션과 장치를 사용할 수 있습니다. 다른 공격.

최신 기술 중 하나는 IPS(침입 방지 시스템)입니다. IPS는 IDS와 방화벽 을 결합한 것과 같습니다 . 일반적인 IDS는 의심스러운 트래픽에 대해 사용자에게 기록하거나 경고하지만 대응 방법은 사용자에게 달려 있습니다. IPS에는 네트워크 트래픽을 비교하는 정책과 규칙이 있습니다. 트래픽이 이러한 정책과 규칙을 위반하는 경우 사용자에게 경고하는 대신 응답하도록 IPS를 구성할 수 있습니다. 일반적인 대응은 원본 IP 주소 의 모든 트래픽을 차단하거나 해당 포트에서 들어오는 트래픽을 차단하여 컴퓨터나 네트워크를 사전에 보호하는 것 입니다 .

네트워크 기반 침입 방지 시스템(NIPS)과 호스트 기반 침입 방지 시스템(HIPS)이 있습니다. 특히 대규모 기업 환경에서는 HIPS를 배포하는 데 비용이 더 많이 들 수 있지만 가능하면 서버 기반 보안을 권장합니다.

네트워크용 호스트 기반 침입 방지 솔루션(HIPS)

• 서명에 의존하지 마십시오 . 서명 또는 알려진 위협의 특징은 바이러스 백신 및 침입 탐지(IDS) 소프트웨어에서 사용하는 주요 수단 중 하나입니다. 위협이 실제로 존재하고 서명이 생성되기 전에 사용자가 공격을 받을 가능성이 있을 때까지는 서명을 개발할 수 없습니다. 호스트 기반 침입 방지 솔루션은 시그니처 기반 탐지와 이상 탐지를 결합하여 "정상적인" 네트워크 활동의 기준을 설정한 다음 이상해 보이는 모든 트래픽에 대응해야 합니다. 예를 들어, 컴퓨터가 FTP를 전혀 사용하지 않고 갑자기 어떤 위협이 컴퓨터에서 FTP 연결을 열려고 시도하는 경우 HIPS는 이를 비정상적인 활동으로 감지합니다.
• 구성 작업 : 일부 HIPS 솔루션은 모니터링하고 보호할 수 있는 프로그램이나 프로세스가 제한될 수 있습니다. 상용 패키지는 물론 사용 중인 내부 사용자 지정 응용 프로그램도 처리할 수 있는 HIPS를 찾아야 합니다. 사용자 정의 응용 프로그램을 사용하지 않거나 이것이 환경에 중요한 문제라고 생각하지 않는 경우 최소한 HIPS 솔루션이 실행 중인 프로그램과 프로세스를 보호하는지 확인하십시오.
• 정책 생성 허용 : 대부분의 HIPS 솔루션은 상당히 완전한 정책 세트와 함께 제공되며 공급업체는 종종 새로운 위협이나 공격 위협에 대한 구체적인 대응을 제공하기 위해 업데이트를 갖거나 새로운 정책을 출시합니다. 그러나 공급업체가 설명하지 않는 고유한 위협이 있거나 새로운 위협이 등장하여 정책이 필요한 경우에는 공급업체가 설명하기 전에 시스템을 보호하기 위한 정책을 자체적으로 생성할 수 있는 능력을 갖는 것이 중요합니다. 업데이트를 발표할 시간이 있습니다. 사용하는 제품이 정책 생성을 허용할 뿐만 아니라 정책 생성이 이해하기 쉽고 몇 주간의 교육이나 전문 프로그래밍 기술이 필요하지 않은지 확인해야 합니다.
• 중앙 집중식 보고 및 관리 제공 : 개별 서버 또는 워크스테이션에 대한 서버 기반 보호에 대해 이야기할 때 HIPS 및 NIPS 솔루션은 상대적으로 비싸고 단일 사용자 일반 가족이 접근할 수 없습니다. 따라서 HIPS에 대해 이야기할 때에도 네트워크의 수백 대 데스크톱과 서버에 HIPS를 배포한다는 관점에서 살펴볼 가치가 있을 것입니다. 개별 데스크톱 수준에서 보호하는 것은 좋지만, 수백 개의 개별 시스템을 관리하거나 집계된 보고서를 생성하는 것은 관리 능력과 집중적인 보고 없이는 거의 불가능합니다. 제품을 선택할 때 보고 및 관리가 중앙 집중화되어 있는지 확인하여 모든 시스템에 새 정책을 배포하거나 한 위치에서 모든 시스템의 보고서를 생성할 수 있습니다.

기타 유의사항

명심해야 할 몇 가지 다른 사항이 있습니다. 첫째, HIPS와 NIPS는 보안과 같은 복잡한 문제에 대한 간단한 솔루션이 아닙니다. 방화벽과 바이러스 백신 애플리케이션을 포함한 견고한 다층 방어 시스템에 훌륭한 추가 기능이 될 수 있지만 기존 기술을 대체할 수는 없습니다.

둘째, 처음에는 HIPS 솔루션을 구현하는 것이 다소 어려울 수 있습니다. 변칙 기반 탐지를 구성하려면 애플리케이션이 "정상" 트래픽과 변칙 트래픽을 이해하기 위해 많은 "도움말"이 필요한 경우가 많습니다. 시스템의 "정상" 트래픽을 정의하는 기준선을 설정할 때 몇 가지 문제가 발생할 수 있습니다.

궁극적으로 기업은 제품이 자신을 위해 무엇을 할 수 있는지에 따라 제품 구매를 결정하는 경우가 많습니다. 실제로 이는 투자 수익률(ROI)을 기준으로 측정됩니다. 즉, 새로운 제품이나 기술에 일정 금액을 투자하면 해당 제품이나 기술이 저절로 성과를 거두는 데 시간이 얼마나 걸립니까?

안타깝게도 컴퓨터 보안 제품과 네트워크 보안 제품은 동일하지 않은 경우가 많습니다. 보안 제품이나 기술이 설계된 대로 작동하면 네트워크는 안전해지지만 ROI를 측정할 수 있는 "이익"은 없습니다. 단점을 살펴보고 해당 제품이나 기술이 채택되지 않으면 회사가 얼마나 잃을 수 있는지 고려해야 합니다. 공격 후 기술 직원이 "정리"할 수 있도록 서버를 재구축하고 데이터, 시간 및 리소스를 복원하는 데 얼마나 많은 비용이 필요합니까? 해당 보안 제품을 사용하지 않으면 기업은 제품이나 기술을 구입하는 데 드는 비용보다 훨씬 더 많은 돈을 잃을 가능성이 높습니다.