入侵防御系統(tǒng) (IPS) 是一種網(wǎng)絡(luò)安全工具,可監(jiān)控網(wǎng)絡(luò)流量并對其進(jìn)行分析以查找惡意活動或違反策略的跡象。如果檢測到此類活動,則 IPS 可以采取各種措施來防止活動成功。這些操作可能包括阻止流量、向安全管理員發(fā)送警報或隔離違規(guī)流量。IPS 也稱為入侵檢測系統(tǒng) (IDS),旨在實(shí)時檢測和預(yù)防安全威脅,而不是等待檢測到威脅并在事后進(jìn)行處理。這使得IPS 成為整體安全策略的重要組成部分,因?yàn)樗梢詭椭Wo(hù)網(wǎng)絡(luò)和系統(tǒng)免受可能無法檢測到的攻擊。
符合 PCI DSS 合規(guī)性的 IPS
PCI DSS 代表支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。它制定了安全標(biāo)準(zhǔn),以確保所有接受、處理、存儲或傳輸信用卡信息的公司都保持安全的環(huán)境。PCI DSS 由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會 (PCI SSC) 開發(fā),該委員會由主要支付卡品牌(Visa、Mastercard、American Express、Discover 和 JCB)組成。這些標(biāo)準(zhǔn)旨在幫助保護(hù)持卡人數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問、使用或披露。為遵守PCI DSS,公司必須滿足安全要求,包括網(wǎng)絡(luò)架構(gòu)、安全管理和訪問控制。
PCI DSS 要求 11.4
PCI DSS 要求 11.4 指出,組織必須采用檢測和預(yù)防技術(shù)來減輕網(wǎng)絡(luò)入侵。組織可以使用 IPS 來監(jiān)控其網(wǎng)絡(luò)活動,并在檢測到任何可疑活動時向安全管理員發(fā)出警報以滿足此要求,并實(shí)施主動安全措施來阻止威脅。
根據(jù) PCI DSS 要求 11.4,組織必須實(shí)施控制以檢測和防止網(wǎng)絡(luò)入侵、保護(hù)持卡人數(shù)據(jù)環(huán)境 (CDE) 并維護(hù)其系統(tǒng)的安全性。這些控件包括:
- 使用 IPS 技術(shù)監(jiān)控和保護(hù)網(wǎng)絡(luò)免受安全威脅。
- 監(jiān)控 CDE 中的所有流量以及 CDE 中的關(guān)鍵點(diǎn),以識別潛在的安全問題。
- 提醒員工注意潛在的安全威脅。
- 保持入侵檢測和防御引擎、簽名和基線為最新,以確保組織的安全系統(tǒng)有效。
符合 GDPR 的 IPS
通用數(shù)據(jù)保護(hù)條例 (GDPR) 是歐盟法律中關(guān)于歐盟 (EU) 和歐洲經(jīng)濟(jì)區(qū) (EEA) 內(nèi)所有個人的數(shù)據(jù)保護(hù)和隱私的條例。它還解決了將個人數(shù)據(jù)導(dǎo)出到歐盟和歐洲經(jīng)濟(jì)區(qū)以外的問題。GDPR 加強(qiáng)和擴(kuò)大了個人控制其數(shù)據(jù)收集、使用和共享方式的權(quán)利,并對處理個人數(shù)據(jù)的組織規(guī)定了多項新義務(wù)。
GDPR 要求組織采取適當(dāng)?shù)募夹g(shù)和組織措施來保護(hù)個人數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問、使用或披露。IPS 可以通過實(shí)時檢測和預(yù)防安全威脅來幫助組織滿足這一要求。這有助于通過阻止試圖從組織系統(tǒng)中泄露數(shù)據(jù)的流量來確保個人數(shù)據(jù)的機(jī)密性。
符合 HIPAA 要求的 IPS
健康保險流通與責(zé)任法案 (HIPAA) 是一項美國聯(lián)邦法律,它制定了保護(hù)某些健康信息的標(biāo)準(zhǔn)。HIPAA 旨在確保受保護(hù)健康信息 (PHI) 的隱私和安全,同時允許在患者護(hù)理或其他授權(quán)目的必要時適當(dāng)使用和披露此信息。
HIPAA 適用于范圍廣泛的組織和個人,包括醫(yī)療保健提供者、健康計劃和醫(yī)療保健信息交換所,以及代表他們處理 PHI 的業(yè)務(wù)伙伴。HIPAA 規(guī)定了處理 PHI 的若干要求,包括保護(hù)數(shù)據(jù)的物理、技術(shù)和管理保障措施的要求。
違反 HIPAA 可能導(dǎo)致適用實(shí)體及其業(yè)務(wù)伙伴受到民事和刑事處罰。HIPAA 還賦予個人在認(rèn)為不正確時請求訪問其 PHI 和更正的權(quán)利。HIPAA 安全規(guī)則 164.306 規(guī)定了處理 PHI 的組織的安全義務(wù),包括:
- 確保電子 PHI 的機(jī)密性、完整性和可用性。
- 防止預(yù)期的 PHI 濫用和其他安全威脅。
- 確保所有員工都遵守 HIPAA 要求。
入侵防御系統(tǒng) (IPS) 對于HIPAA 合規(guī)性很重要,因?yàn)樗鼈兛梢詭椭w的實(shí)體及其業(yè)務(wù)伙伴保護(hù)相關(guān)的健康信息。
如何為受監(jiān)管行業(yè)選擇入侵防御系統(tǒng)
檢測能力
具有強(qiáng)大檢測能力的 IPS 更有可能識別和阻止范圍更廣的威脅,這有助于更好地保護(hù)網(wǎng)絡(luò)或系統(tǒng)。有幾個因素會影響 IPS 的檢測能力,包括它旨在檢測的威脅類型、它用于分析流量的算法和技術(shù),以及可能的定制和調(diào)整級別。一些 IPS 產(chǎn)品提供范圍廣泛的檢測選項,而其他 IPS 產(chǎn)品可能在它們能夠檢測的威脅類型方面更為有限。
在評估 IPS 時,重要的是要考慮 IPS 旨在檢測的特定安全威脅和策略違規(guī),以及其檢測功能的整體有效性。這將有助于確保 IPS 非常適合組織的需求并能夠提供所需的保護(hù)級別。在大多數(shù)情況下,組織應(yīng)該結(jié)合多種檢測方法來覆蓋范圍廣泛的威脅。
情境分析
這很重要,因?yàn)樗鼪Q定了 IPS 理解和解釋流量發(fā)生環(huán)境的能力。安全威脅或策略違規(guī)通常取決于它們發(fā)生的環(huán)境。例如,具有強(qiáng)大上下文理解能力的 IPS 可能能夠區(qū)分正常網(wǎng)絡(luò)流量和屬于安全威脅的流量,例如分布式拒絕服務(wù) (DDoS) 攻擊。這可以幫助 IPS 更準(zhǔn)確地識別和預(yù)防威脅,而不是錯誤地阻止合法流量。
一些 IPS 產(chǎn)品提供了廣泛的上下文理解功能,例如分析網(wǎng)絡(luò)堆棧不同層的流量以及了解不同類型流量之間關(guān)系的能力。其他 IPS 產(chǎn)品的上下文理解能力可能更為有限。在評估 IPS 時,重要的是要考慮 IPS 能夠提供的上下文理解級別,以及如何使用這種上下文理解來識別和預(yù)防威脅。
威脅情報
威脅情報是指有關(guān)當(dāng)前和新出現(xiàn)的安全威脅的信息,可用于改善組織的安全狀況。可以訪問范圍廣泛的威脅情報來源并能夠使用這些情報來識別和預(yù)防威脅的 IPS 更有可能有效地保護(hù)網(wǎng)絡(luò)或系統(tǒng)。這是因?yàn)檫@樣的 IPS 將能夠及時了解最新的安全威脅,并使用此信息來識別和防止可能無法檢測到的威脅。
IPS 可以通過多種方式使用威脅情報,包括通過分析流量的妥協(xié)指標(biāo) (IOC) 以及使用機(jī)器學(xué)習(xí)算法來識別與安全威脅相關(guān)的行為模式。一些 IPS 產(chǎn)品提供他們的威脅情報源,而其他產(chǎn)品可以配置為使用第三方威脅情報源。
結(jié)論
一些合規(guī)性標(biāo)準(zhǔn)要求使用入侵防御系統(tǒng) (IPS)。最重要的標(biāo)準(zhǔn)包括 PCI DSS、GDPR 和 HIPAA,它們要求組織實(shí)施 IPS 作為其安全策略的一部分。正確的 IPS 可以幫助企業(yè)保護(hù)其網(wǎng)絡(luò)和系統(tǒng)免受安全威脅,并證明符合這些標(biāo)準(zhǔn)和其他合規(guī)標(biāo)準(zhǔn)。
