ISO 27039

ISO 27039 beschreibt die Auswahl, den Einsatz und den Betrieb von Intrusion Detection and Prevention-Systemen (IDPS). Wir werden untersuchen, was das bedeutet.

Was ist ISO 27039?

ISO/IEC 27039:2015 bietet Empfehlungen zur Unterstützung von Organisationen bei der Implementierung von Intrusion Detection and Prevention (IDPS)-Systemen. ISO 27039 beschreibt die Auswahl, Implementierung und Prozesse von IDPS. Der Standard bietet auch Kontextinformationen zu diesen Leitlinien. Erkennung und Verhinderung von Eindringlingen sind zwei weit gefasste Begriffe, die Praktiken zur Verhinderung von Angriffen und zur Abwehr neuer Bedrohungen definieren.

Die Erkennung von Einbrüchen ist eine reaktive Maßnahme, die aktuelle Bedrohungen mithilfe der Einbruchserkennung erkennt und abschwächt. Es wird verwendet um:

• Malware erkennen (z. B. Trojaner, Backdoors, Rootkits)
• Erkennen von Social-Engineering-Angriffen, die Benutzer manipulieren, um vertrauliche Daten preiszugeben (z. B. Phishing)

Bei der Intrusion Prevention handelt es sich um eine proaktive Sicherheitsmaßnahme, bei der ein Intrusion Prevention-System eingesetzt wird, um Geräteangriffe zu verhindern. Dazu gehört:

• Remote-Dateieinbindungen, die das Einschleusen von Malware ermöglichen,
• SQL-Injections zur Navigation in Unternehmensdatenbanken.

Gut konzipierte, implementierte, konfigurierte, gesteuerte und betriebene IDPS, wie zum Beispiel:

• Automatisierung optimiert Sicherheitsexperten, die Netzwerksicherheitsvorfälle verfolgen, bewerten und bestmöglich darauf reagieren müssten;
• Automatisierung beschleunigt tendenziell die Identifizierung und Reaktion auf Angriffe, insbesondere auf häufige Angriffsarten, die über eindeutige Signaturen eindeutig identifiziert werden können.
• Sie beruhigen Verwaltung von Sicherheitsproblemen in Netzwerken und vernetzte Geräte werden erkannt und entschärft.

Der Standard enthält Leitlinien und Anweisungen zur Implementierung eines IDPS.

Was sind Systeme zur Erkennung und Verhinderung von Eindringlingen?

Unternehmen sollten nicht nur wissen, was, wo und wie in ihr Netzwerk, ihr Gerät oder ihr Programm eingedrungen wurde. Sie sollten auch wissen, welche Sicherheitslücke missbraucht wird und welche Vorsichtsmaßnahmen getroffen werden müssen Wirksame Risikobehandlungen implementieren um zukünftige Probleme zu vermeiden.

Darüber hinaus können Unternehmen Cyberangriffe erkennen und verhindern. Diese Methode beinhaltet eine Untersuchung des Netzwerkverkehrs und ein Audit Spuren für bekannte Angriffe oder einzigartige Muster, die im Allgemeinen auf eine böswillige Absicht schließen lassen. Mitte der 1990er Jahre begannen Unternehmen, Intrusion Detection and Prevention (IDPS)-Systeme einzusetzen, um diesen Anforderungen gerecht zu werden.

Die allgemeine Verwendung von IDPS nimmt weiter zu, da eine größere Vielfalt an IDPS-Geräten zur Verfügung gestellt wird, um den wachsenden organisatorischen Anforderungen an eine anspruchsvolle Einbrucherkennung gerecht zu werden.

Bei Intrusion-Detection-Systemen handelt es sich meist um automatisierte Systeme, die Angriffe und Einbrüche von Hackern in ein Netzwerk oder Gerät erkennen und Alarm schlagen. Intrusion-Prevention-Systeme gehen bei der Automatisierung einen Schritt weiter, indem sie automatisch auf bestimmte Methoden identifizierter Angriffe reagieren, z. B. das Schließen bestimmter Netzwerk-Ports über eine Firewall, um identifizierten Hacker-Verkehr zu blockieren. IDPS bezieht sich auf beide Arten davon.

Ein Incident Detection System (IDS) ist ein Hardware- oder Softwareprogramm, das bekannte Einbruchssignaturen verwendet, um ein- und ausgehenden Netzwerkverkehr auf verdächtige Aktivitäten zu identifizieren und zu analysieren. Ein IDS erreicht dies durch:

• Vergleich von Systemdateien mit Malware-Signaturen.
• Scanprozesse zur Identifizierung gefährlicher Muster.
• Verfolgen Sie Benutzeraktionen auf böswillige Absichten.
• Gerätekonfigurationen und -parameter steuern.

Wenn ein IDS eine Sicherheitsverletzung, einen Virus oder einen Konfigurationsfehler erkennt, wirft er den betreffenden Benutzer aus dem Netzwerk und sendet eine Warnung an das Sicherheitspersonal.

Trotz seiner Vorteile hat ein IDS inhärente Nachteile. Da es etablierte Einbruchssignaturen verwendet, um Angriffe zu finden. Neu entdeckte oder Zero-Day-Bedrohungen bleiben möglicherweise unentdeckt. Ein IDS erkennt nur aktive Angriffe, keine eingehenden Angriffe. Um diese zu blockieren, ist ein Intrusion-Prevention-System erforderlich.

Ein Intrusion Prevention System (IPS) ergänzt ein IDS-Setup, indem es eingehenden Datenverkehr proaktiv überprüft, um böswillige Anfragen zu vermeiden. Ein Standard-IPS-Setup verwendet Firewalls und Verkehrsfilterung Lösungen zum Schutz von Anwendungen.

Ein IPS vermeidet Angriffe, indem es bösartige Pakete verwirft, verletzende IPs blockiert und das Sicherheitspersonal auf Risiken aufmerksam macht. Dieses Gerät nutzt in der Regel eine bereits vorhandene Signaturerkennungsdatenbank und kann so konzipiert werden, dass es verkehrsbasierte Angriffe und Verhaltensunregelmäßigkeiten erkennt.

Obwohl bekannte Angriffsvektoren wirksam blockiert werden, weisen einige IPS-Systeme Einschränkungen auf. Diese werden in der Regel dadurch hervorgerufen, dass man sich zu sehr auf vordefinierte Gesetze verlässt, was sie anfällig für Fehlalarme macht.

Die Geschichte von ISO/IEC 27039:2015

ISO hat diesen Standard im Jahr 2015 veröffentlicht. ISO 27039 wurde als Ersatz für ISO/IEC 18043:2006 veröffentlicht. Im Jahr 2016 wurde im Rahmen des technischen Korrigendums die Beschreibung der Norm überarbeitet und die deutlich fehlenden Worte „und Prävention“ wieder eingefügt.

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 hat Richtlinien für Unternehmen herausgegeben, die sich für die Erkennung von Eindringlingen in ihrer IT-Infrastruktur entscheiden. Es war eine Anleitung für Administratoren und Benutzer, die Folgendes wollten:

• Kosten und Nutzen eines IDS verstehen
• Erstellung eines Richtlinien- und Umsetzungsplans für das IDS
• Zur effizienten Steuerung der Ausgänge des IDS
• Die Überwachung von Einbrüchen in die Sicherheitsverfahren der Organisation integrieren
• Berücksichtigung der rechtlichen und datenschutzrechtlichen Bedenken, die mit der Einführung des IDS verbunden sind

ISO/IEC 18043:2006 lieferte Informationen, die dazu beitrugen, die Zusammenarbeit zwischen Organisationen, die das IDS nutzen, zu fördern. Die Struktur erleichterte es Organisationen, Informationen über Einbrüche auszutauschen, die über Organisationsgrenzen hinausgingen.

Die Norm ISO/IEC 18043:2006 sieht Folgendes vor:

• Eine kurze Beschreibung des Einbrucherkennungsprozesses
• Eine Erklärung, was das IDS kann und was nicht
• Eine Checkliste, die dabei half, die besten IDS-Funktionen für eine bestimmte IT-Umgebung zu ermitteln
• Eine Definition verschiedener Bereitstellungsstrategien
• Ratschläge zur Verwaltung von IDS-Warnungen
• Eine Erklärung für Management- und rechtliche Bedenken

Was sind die Vorteile von ISO 27039?

Beide Systeme haben Vor- und Nachteile. ISO 27039 enthält spezifische Informationen und Anleitungen für die erfolgreiche Implementierung und Anwendung von IDPSs für alle Organisationen.

Weniger Sicherheitsvorfälle.

Obwohl normalerweise verbundene Einheiten keine Änderungen bemerken, sorgt das IPS für weniger Störungen für die Systeme und Anlagen von Unternehmen weniger Sicherheitsvorfälle.

Gezielte Protokollierung und Schutz der Privatsphäre

IPS verfolgt nur das Netzwerkverhalten, während es Maßnahmen ergreift, und schützt so die Privatsphäre der Netzwerkbenutzer. IPS korreliert den Netzwerkverkehr mit etabliertem bösartigem Datenverkehr, speichert den Inhalt jedoch nicht und greift nicht darauf zu.

Seriöse verwaltete Sicherheit

Das IPS führt eine auf Reputation basierende Liste mutmaßlich bösartiger Websites und Domänen, die proaktiv zum Schutz des Unternehmens verwendet werden. Beispiel: Wenn ein Mitarbeiter auf eine Verbindung in einer Phishing-E-Mail oder auf eine Malware-Anzeige für eine Website auf der IPS-Sperrliste identifizierter bösartiger Websites klickt, blockiert das System den Datenverkehr und der Mitarbeiter sieht einen leeren Bildschirm.

Sicherheit bei mehreren Bedrohungen

IPS bietet Schutz vor Zero-Day-Angriffen, reduziert Brute-Force-Passwortangriffe und bietet Schutz vor Risiken für die Zugänglichkeit, wie DDoS und DoS-Versuchen. Angenommen, ein Krimineller versucht, sich mit roher Gewalt (z. B. wiederholte Anmeldeversuche) Zugang zu einem Konto zu verschaffen. Das IPS verfolgt das Ausmaß der Datenbewegungen, identifiziert verdächtige Muster und verweigert den Zugriff.

Gefahr dynamischer Reaktionen

IPS identifiziert und reagiert auf einzigartige Bedrohungen und ermöglicht es Institutionen, auf definierte Bedrohungen für das Unternehmen zu reagieren.

Die Implementierung eines IDS hat jedoch seine eigenen Vorteile. Zu diesen Vorteilen gehören:

• Mithilfe der Signaturdatenbank gewährleistet IDS eine schnelle und effiziente Identifizierung identifizierter Anomalien mit einer geringen Wahrscheinlichkeit von Fehlalarmen.
• Es analysiert verschiedene Arten von Bedrohungen, erkennt Trends bösartiger Inhalte und hilft Administratoren bei der Lösung, angemessene Kontrollen verwalten und durchsetzen.
• Es trägt dazu bei, die Durchsetzung von Vorschriften und die Einhaltung von Sicherheitsvorschriften sicherzustellen, da es eine bessere Sichtbarkeit im gesamten Netzwerk bietet.
• Während IDS normalerweise ein passives Gerät ist, das Warnungen erkennt und generiert, können einige aktive IDS IP-Adressen blockieren oder den Zugriff auf Ressourcen verhindern, wenn eine Anomalie erkannt wird.

Wer kann ISO 27039 umsetzen?

Der ISO 27039-Standard hilft Organisationen:

Ich versuche mich zu treffen ISO 27001 Anforderungen, insbesondere Anhang A.16:

• Die Organisation implementiert Verfahren und andere Maßnahmen, die eine sofortige Identifizierung ermöglichen Reaktion auf Sicherheitsvorfälle
• Um versuchte und erfolgreiche Sicherheitsverletzungen und -vorfälle besser erkennen zu können, führt das Unternehmen Überwachungs- und Bewertungsverfahren sowie andere Kontrollen durch

Ich versuche, die folgenden Sicherheitsziele zu erreichen ISO 27002

• Aufdeckung illegaler Informationsverarbeitungsaktivitäten;
• Überwachungssysteme mit Informationssicherheitsaktivitäten dokumentiert, mithilfe von Bedienerprotokollen und Fehlerprotokollierung, um Geräteprobleme zu erkennen
• Ziel ist es, alle geltenden rechtlichen Kriterien für seine Überwachungs- und Berichtsaktivitäten zu erfüllen
• Systemüberwachung zur Bestätigung der Wirksamkeit der implementierten Kontrollen und Überprüfen Sie die Einhaltung einer Zugriffsrichtlinie Modell

Aber, Eine Organisation sollte verstehen dass die Implementierung von IDPS kein einzelner oder vollständiger Ansatz zur Lösung der Anforderungen ist. Darüber hinaus ist dieser Internationale Standard auch nicht als Leitfaden für eine Konformitätsbewertung gedacht, wie z ISMS-Zertifizierung.