ISO 27039 beskriver val, driftsättning och drift av system för intrångsdetektering och -förebyggande (IDPS). Vi ska utforska vad det betyder.
ISO / IEC 27039:2015 ger rekommendationer för att hjälpa organisationer att implementera intrångsdetektering och -förebyggande system (IDPS). ISO 27039 beskriver urval, implementering och processer för IDPS. Standarden erbjuder också sammanhangsinformation för dessa riktlinjer. Upptäckt och förhindrande av intrång är två breda ord som definierar metoder som används för att förhindra attacker och undvika nya hot.
Detektering av intrång är en reaktiv åtgärd som upptäcker och mildrar pågående hot med hjälp av intrångsdetektering. Den är van vid att:
Intrångsskydd är en proaktiv säkerhetsåtgärd som använder ett intrångsskyddssystem för att eliminera enhetsattacker. Det inkluderar:
Väldesignad, implementerad, konfigurerad, kontrollerad och driven IDPS, som:
Standarden har vägledning och instruktioner om implementering av en IDPS.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
Organisationer ska inte bara veta vad, var och hur deras nätverk, enhet eller program inkräktades. De bör också veta vilken den missbrukade sårbarheten och vilka försiktighetsåtgärder eller implementera effektiva riskbehandlingar för att undvika framtida problem.
Organisationer kan också identifiera och förhindra cyberintrång. Den här metoden innebär en granskning av nätverkstrafik och revision spår för kända attacker eller unika mönster som i allmänhet antyder skadliga avsikter. I mitten av 1990-talet började företag använda system för att upptäcka och förhindra intrång (IDPS) för att möta dessa behov.
Den allmänna användningen av IDPS fortsätter att växa med ett större utbud av IDPS-enheter som görs tillgängliga för att möta en växande nivå av organisatoriska krav för sofistikerad intrångsdetektering.
Intrångsdetekteringssystem är mestadels automatiserade system som identifierar hackares attacker och intrång i ett nätverk eller en enhet och larmar. Intrångsskydd System tar automatiseringen ett steg längre genom att automatiskt reagera på vissa metoder för identifierade attacker, som att stänga specifika nätverksportar, via en brandvägg, för att blockera identifierad hackertrafik. IDPS hänvisar till båda typerna av detta.
Ett Incident Detection System (IDS) är en hårdvara eller mjukvara som använder kända intrångssignaturer för att identifiera och analysera inkommande och utgående nätverkstrafik för misstänkta aktiviteter. En IDS uppnår detta genom att:
När ett säkerhetsintrång, virus eller konfigurationsfel upptäcks kommer en IDS att sparka bort en kränkande användare från nätverket och skicka en varning till säkerhetspersonalen.
Trots sin fördel har en IDS inneboende nackdelar. Eftersom den använder etablerade intrångssignaturer för att hitta attacker. Nyupptäckta eller nolldagarshot kan förbli oupptäckta. En IDS upptäcker endast aktiva attacker, inte inkommande attacker. Ett intrångsskyddssystem behövs för att blockera dessa.
Ett IPS-system (Intrusion Prevention System) kompletterar en IDS-inställning genom att proaktivt granska inkommande trafik för att undvika skadliga förfrågningar. En standard-IPS-installation använder brandväggar och trafikfiltrering lösningar för att skydda applikationer.
En IPS undviker attacker genom att tappa skadliga paket, blockera inkräktande IP:er och varna säkerhetspersonalen om risker. Den här enheten använder vanligtvis en redan existerande databas för signaturigenkänning och kan utformas för att upptäcka trafikbaserade attacker och beteendeoegentligheter.
Även om de effektivt blockerar kända attackvektorer har vissa IPS-system begränsningar. Dessa orsakas vanligtvis av övertilltro till fördefinierade lagar, vilket gör dem sårbara för falska positiva.
ISO släppte denna standard 2015. ISO 27039 publicerades som en ersättning för ISO/IEC 18043:2006. Under 2016 reviderade den tekniska rättelse beskrivningen av standarden och återinförde de särskilt saknade orden "och förebyggande".
ISO/IEC 18043:2006 utfärdade riktlinjer till ett företag som väljer att tillhandahålla intrångsdetektering i sin IT-infrastruktur. Det var ett "hur man" för administratörer och användare som ville:
ISO/IEC 18043:2006 gav information som hjälpte till att främja samarbete mellan organisationer som använder IDS. Strukturen gjorde det lättare för organisationer att dela information om intrång som överskrider organisationsgränser.
ISO/IEC 18043:2006 standard tillhandahålls:
Ladda ner din gratis guide
för att effektivisera din Infosec
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
Båda systemen har fördelar och nackdelar. ISO 27039 innehåller specifik information och vägledning för framgångsrik implementering och tillämpning av IDPS för alla organisationer.
Även om vanligtvis länkade enheter inte märker någon förändring, säkerställer IPS:en mindre störningar för organisationens system och färre säkerhetsincidenter.
IPS spårar bara nätverksbeteende när det vidtar åtgärder, vilket skyddar nätverksanvändarnas integritet. IPS korrelerar nätverkstrafik med etablerad skadlig trafik men lagrar eller kommer inte åt innehållet.
IPS följer en ryktebaserad lista över misstänkta skadliga webbplatser och domäner som används proaktivt för att säkra företaget. Till exempel: Om en anställd klickar på en anslutning i ett nätfiskemeddelande eller en annons för skadlig programvara för en webbplats på IPS-listan över identifierade skadliga webbplatser, kommer systemet att blockera trafiken och den anställde skulle se en tom skärm.
IPS erbjuder noll-dagars attackskydd, minskar brute force lösenordsattacker och erbjuder skydd mot risker för tillgänglighet, såsom DDoS och DoS-försök. Anta till exempel att en brottsling försöker få tillgång till ett konto med brutalt våld (t.ex. upprepade inloggningsförsök). IPS kommer att spåra omfattningen av datarörelser, identifiera misstänkta mönster och neka åtkomst.
IPS identifierar och reagerar på unika hot, vilket gör det möjligt för institutioner att reagera på definierade hot mot företaget.
Men att implementera en IDS har sina egna fördelar. Dessa förmåner inkluderar:
ISO 27039-standarden hjälper organisationer:
Försöker träffas ISO 27001 krav, specifikt Bilaga A.16:
Försöker uppfylla följande säkerhetsmål för ISO 27002
Emellertid en organisation borde förstå att implementering av IDPS inte är en enda eller komplett metod för att lösa kraven. Dessutom är denna internationella standard inte heller avsedd som riktlinjer för någon utvärdering av efterlevnad, som t.ex ISMS-certifiering.
Klausul 1: Omfattning
Punkt 2: Termer och definitioner
Punkt 3: Bakgrund
Klausul 4: Allmänt
Klausul 5: Urval
Klausul 6: Implementering
Klausul 7: Verksamhet
ISO 27039 har sju klausuler och en bilaga.
Tre huvuddelar utgör standardens bulk:
Bilaga A: System för upptäckt och förebyggande av intrång (IDPS): Ramar och frågor som ska beaktas
100 % av våra användare uppnår ISO 27001-certifiering första gången