ניהול איומים מקיף" אינה תפיסה חדשה, למעשה זו אסטרטגיה שמשמשת כיום חברות רבות בכל מה שקשור לאבטחה. לדוגמא: סניף בנק קטן מוגן בכמה וכמה רמות של אבטחה כמו: שומר בדלת, מספר מצלמות אבטחה, כפתורי מצוקה לפקידים וכספת נעולה לשמירה על רכוש הבנק והלקוחות.
בהתאמה, ארגון שרוצה ליישם את האסטרטגיה של "ניהול איומים מקיף" ברשת הארגונית, חייב להתקין רכיבים נוספים של אבטחת מידע גם בתוך הרשת, ולא רק ב- GATEWAY. ברגע שתעבורה עוברת את ה- FIREWALL, או נכנסת דרך הרשת הפנימית, ישנם כלי אבטחה אחרים שמנתרים את הרשת ומגנים מפני התקפות וחורי אבטחת מידע.
במהלך השנים האחרונות מערכות IPS - Intrusion Prevention Systems, התפתחו לטכנולוגיה ספציפית בתוך המכלול של "ניהול איומים מקיף". המשמעות היא שרכיבי IPS יושבים ברשת הפנימית, בודקים תעבורת רשת וחוסמים קוד פוגעני או מה שיכול להיחשד כהתקפה על הרשת.
משום ש- IPS היא טכנולוגיה אחת, בשכבות רבות של אבטחה שצריכות להיות מיושמות, מדוע שמשתמש יבחר דווקא בה? לפי מחקר של ESG עולה כי משתמשים מאמינים שמערכות IPS הן יעילות יותר, אוטומטיות ויעילות מפתרונות אבטחה אחרים. מנהלי אבטחת מידע אכן נוכחים לדעת שמערכות ה- IPS שלהם עצרו התקפות רשת שהגיעו מבפנים, או שהצליחו לעבור את ה- FIREWALL, וכך הצליחו לצמצם את הצורך להשבית רשת. בנוסף מערכות IPS יכולות לבטל את הצורך לבצע עדכוני אבטחה דחופים למערכות ולשרתים, ובכך למנוע ניצול של נקודות תורפה על-ידי האקרים או התקפות, וכל זה בצורה שקופה ובלי לבצע PATCHING למערכות הקצה.
לא כל מערכות ה- IPS זהות
לפני מספר שנים רכיבי IPS התקבלו בספקנות, לא עוד!!! כיום הערך של מערכות IPS מובן, במיוחד בחברות וארגונים גדולים, ולכן חברות תקשורת רבות מציעות כיום מערכות IPS שלטענתן עדיפות על המערכות של המתחרים.
אם כך - מה צריך מנהל אבטחת מידע לבדוק לפני שהוא רוכש מערכת IPS? משתמשים מחפשים בדרך כלל אמינות גבוה, ביצועי סריקה גבוהים (בכדי לא ליצור צוואר בקבוק במערכת ה- IPS), שרידות של המערכת והרשת במידה ויש תקלה במערכת ה- IPS ושירות. ברגע שמכניסים רכיב IPS לתוך מערכת ארגונית קיימת, הרכיב חייב לספק את האפשרויות הבאות:
• קלות התקנה - חברות שעובדות 24 X 7, לא יכולות לאפשר לעצמן השבתה של הרשת בזמן ביצוע אינטגרציה של רכיב IPS. המערכת חייבת להיות "שקופה" לתעבורת רשת רגילה, ומצד שני למנוע התקפות וניסיונות פריצה.
• לספק יכולות קונפיגורציה לרשתות מורכבות. כל חברה תרצה שמערכת ה - IPS שלה תתפקד בצורה שונה. חלק ירצו שרכיב ה - IPS יהיה פסיבי - יתריע על התקפות ולא יבצע חסימה, ואחרות ירצו שהרכיב יהיה אקטיבי. על רכיב ה- IPS להיות מודולארי ולהשתנות בהתאם לדרישות הלקוח.
• הגנה מפני מגוון התקפות. מאחר שמערכת IPS סורקת את תעבורת הרשת, עליה להיות מסוגלת להגן מפני סוגי התקפות והתנהגויות רשת מגוונות, כגון: סריקות רשת, קוד פוגעני, תולעים, וירוסים, סוסים טרויאניים, תעבורת רשת אנורמאלית, IPv6 והגנה מפני התקפות לא ידועות, DAY ZERO ATTACKS וניצול נקודות תורפה של מערכות קצה.
• ביצועים. מיקומו של רכיב ה- IPS הוא בדרך כלל בתוך הרשת הארגונית, ועליו מוטל לנתח חלק גדול מתעבורת הרשת הפנימית. לכן, רכיב שיתאים לרשת של 200 משתמשים לא יתאים לארגון עם אלפי משתמשים, מכאן שיש להתאים את רכיב ה- IPS בהתאם לנפח תעבורת הרשת הפנימית.
• ניהול. ברשתות ארגוניות סביר להניח שיותקנו מספר מערכות IPS, ולכן יש צורך במערכת ניהול מרכזית שתאפשר לנהל את רכיבי ה- IPS בפשטות, במהירות ודרך מערכת ניהול ודיווח מרכזית.
ובפועל? ...
• האם כדאי להשתמש במוצר IPS של מי שנותן לי את שאר רכיבי האבטחה ברשת? תמיד עולה השאלה האם לשמור על הרשת הומוגנית, ושספק ה- FIREWALL יהיה גם ספק ה- IPS ומערכות ההגנה על מחשבי הקצה. התשובה לכך היא שרצוי לגוון את ספקי ציוד אבטחת המידע, מהסיבה שכל ספק משתמש במנוע שונה. כך, במידה והתקפה חדרה את ה- FIREWALL, יש סיכוי גבוה יותר שהיא תיעצר על-ידי IPS של חברה אחרת, ולא על-ידי ה- IPS של החברה שסיפקה את ה- FIREWALL.
• מי השחקנים החזקים בשוק העולמי? כיום שוק ה- IPS מתחלק בין 4 חברות עיקריות, ISS שמהווה 28 אחוז מהשוק הכללי ואחריה TIPPING POINT עם 19 אחוז, McAfee עם 18 אחוז ו-JUNIPER עם 12 אחוז (מקור הנתונים: IDC).
• מי החברה המובילה בזיהויי פרצות? המוח שמניע כל חברת אבטחה הוא צוות הפיתוח והמחקר שלה. ככל שהצוות טוב יותר, החברה מסוגלת לזהות יותר פרצות ולחסום אותן עוד לפני שהם מתפרסמות. יכולת הזיהוי וגילוי פרצות אבטחת מידע הינה קריטית, זאת משום שמערכות של חברה שגילתה את הפרצה תהיה מוגנת, בעוד שחברות אחרות יהיו מוגנות רק ברגע שיפורסם PATCH רשמי (מקור הנתונים : IDC).
• איזה פיתרון עדיף?
IPS מהווה קו הגנה במכלול השלם של "ניהול איומים מקיף"
בזמן שמערכות IPS יכולות להשלים את ההגנה ההיקפית של רשת המחשבים, זהו עדיין קו הגנה נוסף במערכת כוללת. בהתחשב בדרישות העסקיות הקיימות היום ובאיומי האבטחה מצד האינטרנט והרשת הפנימית, ארגונים חייבים לאמץ את האסטרטגיה של "ניהול איומים מקיף", ובתוך אותה אסטרטגיה לכלול הגנה על רכיבים החיוניים ברשת, החל מתחנות קצה וכלה בשרתים. כל זה בכדי להקטין את האיומים עימם מתמודדים היום ארגונים.
אסטרטגיית "ניהול האיומים המקיף" צריכה לכלול:
• הערכת סיכונים שוטפת. על-ידי סריקה של הרשת באופן שוטף, זיהוי נקודות תורפה ועדכונים שוטפים של המערכות.
• הבנה עמוקה של הרשת. אבטחת מידע לא כוללת רק מניעת התקפות, כי אם גם הבנה של נקודות התורפה והיכולת לצפות התקפות ונקודות כשל ולמנוע אותן מבעוד מועד.
• הגנה על אפליקציות ספציפיות. אפליקציות כגון גלישה באתרי אינטרנט, הורדות FTF, שליחת דואר ואחרות, אינן מוגנות על-ידי ה- FIREWALL, ויש צורך להתקין ולתחזק מערכות שיכולות להתמודד עם האיומים שה - FIREWALL לא מסוגל להתמודד איתם.
• הגנה על תחנות הקצה. במלחמה בין האקרים לצוותי אבטחת מידע, עולה פעמים רבות שמחשב בודד יכול לזהם רשת שלמה. יש לתת את הדעת להגנה על מחשביי קצה, מאחר שפעמים רבות משתמש לא זהיר מביא תוכנה על מדיה חיצונית כמו DISK ON KEY, וגורם לזיהום של כל הרשת הארגונית מבפנים.
• ניהול מרוכז. ככל שהמערכות מתרבות ונהיות מתוחכמות יותר עולה הצורך לנהל אותן בצורה פשוטה ומרוכזת.
יישום של "ניהול איומים שוטף" צריכה להיות אסטרטגיה שארגון מחליט לאמץ, כאשר המטרה בסופו של דבר היא רשת חכמה, אוטומטית ומוגנת, שתאפשר לארגון זמינות מלאה וחיסכון בכסף.
לסיכום, מערכות IPS הפכו במהירות להיות קו הגנה מוכח במלחמתם של צוותי אבטחת מידע בהאקרים ווירוסים מבית ומחוץ. עבו חברות רבות, השאלה היא לא האם ליישם מערכת IPS, אלא איזו מערכת ליישם ומתי.