ISO 27039

ISO 27039 beskriver val, driftsättning och drift av system för intrångsdetektering och -förebyggande (IDPS). Vi ska utforska vad det betyder.

Vad är ISO 27039?

ISO / IEC 27039:2015 ger rekommendationer för att hjälpa organisationer att implementera intrångsdetektering och -förebyggande system (IDPS). ISO 27039 beskriver urval, implementering och processer för IDPS. Standarden erbjuder också sammanhangsinformation för dessa riktlinjer. Upptäckt och förhindrande av intrång är två breda ord som definierar metoder som används för att förhindra attacker och undvika nya hot.

Detektering av intrång är en reaktiv åtgärd som upptäcker och mildrar pågående hot med hjälp av intrångsdetektering. Den är van vid att:

• Upptäck skadlig programvara (t.ex. trojaner, bakdörrar, rootkits)
• Upptäcka social ingenjörskonst som manipulerar användare för att avslöja konfidentiella detaljer (t.ex. nätfiske)

Intrångsskydd är en proaktiv säkerhetsåtgärd som använder ett intrångsskyddssystem för att eliminera enhetsattacker. Det inkluderar:

• Fjärrfilinneslutningar som möjliggör injektion av skadlig programvara,
• SQL-injektioner som används för att navigera i företagsdatabaser.

Väldesignad, implementerad, konfigurerad, kontrollerad och driven IDPS, som:

• Automation optimerar säkerhetspersonal som skulle behöva spåra, utvärdera och reagera så gott de kan på nätverkssäkerhetsincidenter;
• Automatisering tenderar att påskynda identifiering och reaktion på attacker, särskilt vanliga typer av attacker som otvetydigt kan identifieras via unika signaturer;
• De lugnar hantering av säkerhetsproblem på nätverk och nätverksanslutna enheter upptäcks och mildras.

Standarden har vägledning och instruktioner om implementering av en IDPS.

Vad är intrångsdetektering och förebyggande system?

Organisationer ska inte bara veta vad, var och hur deras nätverk, enhet eller program inkräktades. De bör också veta vilken den missbrukade sårbarheten och vilka försiktighetsåtgärder eller implementera effektiva riskbehandlingar för att undvika framtida problem.

Organisationer kan också identifiera och förhindra cyberintrång. Den här metoden innebär en granskning av nätverkstrafik och revision spår för kända attacker eller unika mönster som i allmänhet antyder skadliga avsikter. I mitten av 1990-talet började företag använda system för att upptäcka och förhindra intrång (IDPS) för att möta dessa behov.

Den allmänna användningen av IDPS fortsätter att växa med ett större utbud av IDPS-enheter som görs tillgängliga för att möta en växande nivå av organisatoriska krav för sofistikerad intrångsdetektering.

Intrångsdetekteringssystem är mestadels automatiserade system som identifierar hackares attacker och intrång i ett nätverk eller en enhet och larmar. Intrångsskydd System tar automatiseringen ett steg längre genom att automatiskt reagera på vissa metoder för identifierade attacker, som att stänga specifika nätverksportar, via en brandvägg, för att blockera identifierad hackertrafik. IDPS hänvisar till båda typerna av detta.

Ett Incident Detection System (IDS) är en hårdvara eller mjukvara som använder kända intrångssignaturer för att identifiera och analysera inkommande och utgående nätverkstrafik för misstänkta aktiviteter. En IDS uppnår detta genom att:

• Jämför systemfiler med signaturer för skadlig programvara.
• Skanningsprocesser för att identifiera farliga mönster.
• Spåra användaråtgärder för uppsåt.
• Styr enhetskonfigurationer och parametrar.

När ett säkerhetsintrång, virus eller konfigurationsfel upptäcks kommer en IDS att sparka bort en kränkande användare från nätverket och skicka en varning till säkerhetspersonalen.

Trots sin fördel har en IDS inneboende nackdelar. Eftersom den använder etablerade intrångssignaturer för att hitta attacker. Nyupptäckta eller nolldagarshot kan förbli oupptäckta. En IDS upptäcker endast aktiva attacker, inte inkommande attacker. Ett intrångsskyddssystem behövs för att blockera dessa.

Ett IPS-system (Intrusion Prevention System) kompletterar en IDS-inställning genom att proaktivt granska inkommande trafik för att undvika skadliga förfrågningar. En standard-IPS-installation använder brandväggar och trafikfiltrering lösningar för att skydda applikationer.

En IPS undviker attacker genom att tappa skadliga paket, blockera inkräktande IP:er och varna säkerhetspersonalen om risker. Den här enheten använder vanligtvis en redan existerande databas för signaturigenkänning och kan utformas för att upptäcka trafikbaserade attacker och beteendeoegentligheter.

Även om de effektivt blockerar kända attackvektorer har vissa IPS-system begränsningar. Dessa orsakas vanligtvis av övertilltro till fördefinierade lagar, vilket gör dem sårbara för falska positiva.

Historien om ISO/IEC 27039:2015

ISO släppte denna standard 2015. ISO 27039 publicerades som en ersättning för ISO/IEC 18043:2006. Under 2016 reviderade den tekniska rättelse beskrivningen av standarden och återinförde de särskilt saknade orden "och förebyggande".

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 utfärdade riktlinjer till ett företag som väljer att tillhandahålla intrångsdetektering i sin IT-infrastruktur. Det var ett "hur man" för administratörer och användare som ville:

• För att förstå kostnaderna och fördelarna med en IDS
• Att upprätta en policy och implementeringsplan för IDS
• För att effektivt styra utsignalerna från IDS
• Att införliva övervakning av intrång i organisationens säkerhetsrutiner
• Att överväga de juridiska och integritetsproblem som är involverade i införandet av IDS

ISO/IEC 18043:2006 gav information som hjälpte till att främja samarbete mellan organisationer som använder IDS. Strukturen gjorde det lättare för organisationer att dela information om intrång som överskrider organisationsgränser.

ISO/IEC 18043:2006 standard tillhandahålls:

• En kort beskrivning av intrångsdetekteringsprocessen
• En förklaring av vad IDS kan och inte kan göra
• En checklista som hjälpte till att fastställa de bästa IDS-funktionerna för en viss IT-miljö
• En definition av olika distributionsstrategier
• Råd om hantering av IDS-varningar
• En förklaring till lednings- och juridiska problem

Vilka är fördelarna med ISO 27039?

Båda systemen har fördelar och nackdelar. ISO 27039 innehåller specifik information och vägledning för framgångsrik implementering och tillämpning av IDPS för alla organisationer.

Färre säkerhetsincidenter.

Även om vanligtvis länkade enheter inte märker någon förändring, säkerställer IPS:en mindre störningar för organisationens system och färre säkerhetsincidenter.

Logga selektivt och skydda integriteten

IPS spårar bara nätverksbeteende när det vidtar åtgärder, vilket skyddar nätverksanvändarnas integritet. IPS korrelerar nätverkstrafik med etablerad skadlig trafik men lagrar eller kommer inte åt innehållet.

Ansedda hanterad säkerhet

IPS följer en ryktebaserad lista över misstänkta skadliga webbplatser och domäner som används proaktivt för att säkra företaget. Till exempel: Om en anställd klickar på en anslutning i ett nätfiskemeddelande eller en annons för skadlig programvara för en webbplats på IPS-listan över identifierade skadliga webbplatser, kommer systemet att blockera trafiken och den anställde skulle se en tom skärm.

Säkerhet med flera hot

IPS erbjuder noll-dagars attackskydd, minskar brute force lösenordsattacker och erbjuder skydd mot risker för tillgänglighet, såsom DDoS och DoS-försök. Anta till exempel att en brottsling försöker få tillgång till ett konto med brutalt våld (t.ex. upprepade inloggningsförsök). IPS kommer att spåra omfattningen av datarörelser, identifiera misstänkta mönster och neka åtkomst.

Fara för dynamisk respons

IPS identifierar och reagerar på unika hot, vilket gör det möjligt för institutioner att reagera på definierade hot mot företaget.

Men att implementera en IDS har sina egna fördelar. Dessa förmåner inkluderar:

• Genom att använda signaturdatabasen säkerställer IDS snabb och effektiv identifiering av identifierade anomalier med låg risk för falsklarm.
• Den analyserar olika typer av hot, upptäcker trender av skadligt innehåll och hjälper administratörer att lösa, hantera och genomdriva adekvata kontroller.
• Det hjälper till att säkerställa efterlevnad av regelverk och följa säkerhetsföreskrifter eftersom det ger större synlighet över hela nätverket.
• Medan IDS vanligtvis är en passiv enhet, medan de upptäcker och genererar varningar, kan vissa aktiva IDS blockera IP-adresser eller förhindra åtkomst till resurser när en avvikelse upptäcks.

Vem kan implementera ISO 27039?

ISO 27039-standarden hjälper organisationer:

Försöker träffas ISO 27001 krav, specifikt Bilaga A.16:

• Organisationen implementerar procedurer och andra åtgärder som kan snabbt identifiera och svar på säkerhetsincidenter
• För att bättre upptäcka försök och framgångsrika säkerhetsintrång och incidenter ska företaget genomföra övervaknings- och utvärderingsprocedurer och andra kontroller

Försöker uppfylla följande säkerhetsmål för ISO 27002

• Upptäcka olaglig informationsbehandlingsverksamhet;
• Övervakningssystem med informationssäkerhetsaktiviteter dokumenteras, med hjälp av operatörsloggar och felloggning för att upptäcka enhetsproblem
• Syftar till att uppfylla alla tillämpliga juridiska kriterier för dess övervaknings- och rapporteringsaktiviteter
• Systemövervakning för att bekräfta effektiviteten av genomförda kontroller och verifiera efterlevnaden av en åtkomstpolicy modell

Emellertid en organisation borde förstå att implementering av IDPS inte är en enda eller komplett metod för att lösa kraven. Dessutom är denna internationella standard inte heller avsedd som riktlinjer för någon utvärdering av efterlevnad, som t.ex ISMS-certifiering.