ISO 27039 beschreibt die Auswahl, den Einsatz und den Betrieb von Intrusion Detection and Prevention-Systemen (IDPS). Wir werden untersuchen, was das bedeutet.
ISO/IEC 27039:2015 bietet Empfehlungen zur Unterstützung von Organisationen bei der Implementierung von Intrusion Detection and Prevention (IDPS)-Systemen. ISO 27039 beschreibt die Auswahl, Implementierung und Prozesse von IDPS. Der Standard bietet auch Kontextinformationen zu diesen Leitlinien. Erkennung und Verhinderung von Eindringlingen sind zwei weit gefasste Begriffe, die Praktiken zur Verhinderung von Angriffen und zur Abwehr neuer Bedrohungen definieren.
Die Erkennung von Einbrüchen ist eine reaktive Maßnahme, die aktuelle Bedrohungen mithilfe der Einbruchserkennung erkennt und abschwächt. Es wird verwendet um:
Bei der Intrusion Prevention handelt es sich um eine proaktive Sicherheitsmaßnahme, bei der ein Intrusion Prevention-System eingesetzt wird, um Geräteangriffe zu verhindern. Dazu gehört:
Gut konzipierte, implementierte, konfigurierte, gesteuerte und betriebene IDPS, wie zum Beispiel:
Der Standard enthält Leitlinien und Anweisungen zur Implementierung eines IDPS.
ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.
Unternehmen sollten nicht nur wissen, was, wo und wie in ihr Netzwerk, ihr Gerät oder ihr Programm eingedrungen wurde. Sie sollten auch wissen, welche Sicherheitslücke missbraucht wird und welche Vorsichtsmaßnahmen getroffen werden müssen Wirksame Risikobehandlungen implementieren um zukünftige Probleme zu vermeiden.
Darüber hinaus können Unternehmen Cyberangriffe erkennen und verhindern. Diese Methode beinhaltet eine Untersuchung des Netzwerkverkehrs und ein Audit Spuren für bekannte Angriffe oder einzigartige Muster, die im Allgemeinen auf eine böswillige Absicht schließen lassen. Mitte der 1990er Jahre begannen Unternehmen, Intrusion Detection and Prevention (IDPS)-Systeme einzusetzen, um diesen Anforderungen gerecht zu werden.
Die allgemeine Verwendung von IDPS nimmt weiter zu, da eine größere Vielfalt an IDPS-Geräten zur Verfügung gestellt wird, um den wachsenden organisatorischen Anforderungen an eine anspruchsvolle Einbrucherkennung gerecht zu werden.
Bei Intrusion-Detection-Systemen handelt es sich meist um automatisierte Systeme, die Angriffe und Einbrüche von Hackern in ein Netzwerk oder Gerät erkennen und Alarm schlagen. Intrusion-Prevention-Systeme gehen bei der Automatisierung einen Schritt weiter, indem sie automatisch auf bestimmte Methoden identifizierter Angriffe reagieren, z. B. das Schließen bestimmter Netzwerk-Ports über eine Firewall, um identifizierten Hacker-Verkehr zu blockieren. IDPS bezieht sich auf beide Arten davon.
Ein Incident Detection System (IDS) ist ein Hardware- oder Softwareprogramm, das bekannte Einbruchssignaturen verwendet, um ein- und ausgehenden Netzwerkverkehr auf verdächtige Aktivitäten zu identifizieren und zu analysieren. Ein IDS erreicht dies durch:
Wenn ein IDS eine Sicherheitsverletzung, einen Virus oder einen Konfigurationsfehler erkennt, wirft er den betreffenden Benutzer aus dem Netzwerk und sendet eine Warnung an das Sicherheitspersonal.
Trotz seiner Vorteile hat ein IDS inhärente Nachteile. Da es etablierte Einbruchssignaturen verwendet, um Angriffe zu finden. Neu entdeckte oder Zero-Day-Bedrohungen bleiben möglicherweise unentdeckt. Ein IDS erkennt nur aktive Angriffe, keine eingehenden Angriffe. Um diese zu blockieren, ist ein Intrusion-Prevention-System erforderlich.
Ein Intrusion Prevention System (IPS) ergänzt ein IDS-Setup, indem es eingehenden Datenverkehr proaktiv überprüft, um böswillige Anfragen zu vermeiden. Ein Standard-IPS-Setup verwendet Firewalls und Verkehrsfilterung Lösungen zum Schutz von Anwendungen.
Ein IPS vermeidet Angriffe, indem es bösartige Pakete verwirft, verletzende IPs blockiert und das Sicherheitspersonal auf Risiken aufmerksam macht. Dieses Gerät nutzt in der Regel eine bereits vorhandene Signaturerkennungsdatenbank und kann so konzipiert werden, dass es verkehrsbasierte Angriffe und Verhaltensunregelmäßigkeiten erkennt.
Obwohl bekannte Angriffsvektoren wirksam blockiert werden, weisen einige IPS-Systeme Einschränkungen auf. Diese werden in der Regel dadurch hervorgerufen, dass man sich zu sehr auf vordefinierte Gesetze verlässt, was sie anfällig für Fehlalarme macht.
ISO hat diesen Standard im Jahr 2015 veröffentlicht. ISO 27039 wurde als Ersatz für ISO/IEC 18043:2006 veröffentlicht. Im Jahr 2016 wurde im Rahmen des technischen Korrigendums die Beschreibung der Norm überarbeitet und die deutlich fehlenden Worte „und Prävention“ wieder eingefügt.
ISO/IEC 18043:2006 hat Richtlinien für Unternehmen herausgegeben, die sich für die Erkennung von Eindringlingen in ihrer IT-Infrastruktur entscheiden. Es war eine Anleitung für Administratoren und Benutzer, die Folgendes wollten:
ISO/IEC 18043:2006 lieferte Informationen, die dazu beitrugen, die Zusammenarbeit zwischen Organisationen, die das IDS nutzen, zu fördern. Die Struktur erleichterte es Organisationen, Informationen über Einbrüche auszutauschen, die über Organisationsgrenzen hinausgingen.
Die Norm ISO/IEC 18043:2006 sieht Folgendes vor:
Laden Sie Ihren kostenlosen Leitfaden herunter
um Ihre Infosec zu optimieren
Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
Beide Systeme haben Vor- und Nachteile. ISO 27039 enthält spezifische Informationen und Anleitungen für die erfolgreiche Implementierung und Anwendung von IDPSs für alle Organisationen.
Obwohl normalerweise verbundene Einheiten keine Änderungen bemerken, sorgt das IPS für weniger Störungen für die Systeme und Anlagen von Unternehmen weniger Sicherheitsvorfälle.
IPS verfolgt nur das Netzwerkverhalten, während es Maßnahmen ergreift, und schützt so die Privatsphäre der Netzwerkbenutzer. IPS korreliert den Netzwerkverkehr mit etabliertem bösartigem Datenverkehr, speichert den Inhalt jedoch nicht und greift nicht darauf zu.
Das IPS führt eine auf Reputation basierende Liste mutmaßlich bösartiger Websites und Domänen, die proaktiv zum Schutz des Unternehmens verwendet werden. Beispiel: Wenn ein Mitarbeiter auf eine Verbindung in einer Phishing-E-Mail oder auf eine Malware-Anzeige für eine Website auf der IPS-Sperrliste identifizierter bösartiger Websites klickt, blockiert das System den Datenverkehr und der Mitarbeiter sieht einen leeren Bildschirm.
IPS bietet Schutz vor Zero-Day-Angriffen, reduziert Brute-Force-Passwortangriffe und bietet Schutz vor Risiken für die Zugänglichkeit, wie DDoS und DoS-Versuchen. Angenommen, ein Krimineller versucht, sich mit roher Gewalt (z. B. wiederholte Anmeldeversuche) Zugang zu einem Konto zu verschaffen. Das IPS verfolgt das Ausmaß der Datenbewegungen, identifiziert verdächtige Muster und verweigert den Zugriff.
IPS identifiziert und reagiert auf einzigartige Bedrohungen und ermöglicht es Institutionen, auf definierte Bedrohungen für das Unternehmen zu reagieren.
Die Implementierung eines IDS hat jedoch seine eigenen Vorteile. Zu diesen Vorteilen gehören:
Der ISO 27039-Standard hilft Organisationen:
Ich versuche mich zu treffen ISO 27001 Anforderungen, insbesondere Anhang A.16:
Ich versuche, die folgenden Sicherheitsziele zu erreichen ISO 27002
Aber, Eine Organisation sollte verstehen dass die Implementierung von IDPS kein einzelner oder vollständiger Ansatz zur Lösung der Anforderungen ist. Darüber hinaus ist dieser Internationale Standard auch nicht als Leitfaden für eine Konformitätsbewertung gedacht, wie z ISMS-Zertifizierung.
Klausel 1: Geltungsbereich
Klausel 2: Begriffe und Definitionen
Klausel 3: Hintergrund
Klausel 4: Allgemeines
Klausel 5: Auswahl
Klausel 6: Bereitstellung
Klausel 7: Operationen
ISO 27039 hat sieben Abschnitte und einen Anhang.
Den Kern der Norm bilden drei Hauptteile:
Anhang A: Intrusion Detection and Prevention System (IDPS): Rahmen und zu berücksichtigende Probleme
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung