新的基于主机的IPS

新的基于主机的IPS

有许多技术可以提供基于主机的入侵防御功能,但eWEEK实验室认为有两种技术可以最好地补充企业当前的战略:漏洞检查和应用程序以及流程审查。这些技术可以在不同的解决方案中找到,但两者都应被视为现有项目的扩展,而不是作为自身手段的安全性。

漏洞检查有助于解决补丁窗口缩小的问题。管理员已经很难跟上操作系统,应用程序甚至现有安全解决方案的新补丁。有限的资源和维护使用协议的需要仍然是未安装补丁的原因。除此之外,还有越来越多的零日攻击,IT实施者测试和部署服务器和桌面补丁的机会窗口几乎完全消失。实际上,许多管理员已经悄然放弃尝试,这实际上是可能的最差响应。

漏洞检查使用漏洞的特定细节来查找漏洞利用代码-减少了担心处理变体的问题。同样的利用。在发现和分析新漏洞时,必须定期更新防御,但不能使用基于签名的漏洞检测器所需的频率。最重要的是,漏洞检查为管理员提供了获取,测试和部署补丁的时间,这仍然是所有人的最佳防御(以及应该继续的实践)。

我们已经看到了很多需要漏洞防御类型。作为独立的HIPS(主机入侵防御系统)提供商,Determina凭借其VPS(VulnerabilityProtectionSuite)产品成为这种方法的重要支持者。普通的反病毒解决方案中不会发现漏洞检查,但赛门铁克和PandaSoftware等公司已将其添加到更高级的安全套件(通常是那些带有防火墙的安全套件)中。迈克菲包括漏洞检测功能,不在其任何防病毒平台中,而是在其McAfeeHostIntrusionPrevention套件中。

进一步阅读Brinqa如何为网络风险带来可行的见解Splunk与LogRhythm:SIEMHead-to-Head

其他公司,例如BlueLaneTechnologies,将这种防御从主机中取出,而不是将其放入网络网关设备中,为面向Internet的服务器提供特定于漏洞的阻止。

应用程序和流程审核

eWEEKLabs经常吹嘘最低权限用户桌面环境的优势。但我们也承认,最低权限用户环境只是提高安全性的一步,因为一些恶意软件和应用程序只能在用户空间中运行。有些威胁不需要访问文件系统或注册表的受限制部分以获得系统上的立足点,并且存在可以与其他漏洞结合的特权升级威胁,以访问操作系统的特权部分。

我们提倡的第二种HIPS技术旨在通过控制实际允许在工作站上运行的流程和应用程序来填补这种缺陷。Bit9sParity35等产品(请参见第34页上的评论)维护允许运行的已批准应用程序列表,否定所有其他应用程序。未经授权的应用程序,安装程序和恶意软件被有效中断,因为它们无法在未经IT部门批准的情况下运行。

去年,我们审查了一对旨在帮助企业实施最低权限用户环境的产品。在我们的测试中,Winternals软件保护管理器和DesktopStandardsPolicyMaker应用程序安全性允许我们使用必要的提升安全权限来定位和运行编码不良的应用程序,同时用户总体上保持有限的权限。(自从我们的评论以来,微软已经收购了Winternals和DesktopStandard。)

(责任编辑:北京赛车pk10开车记录)

本文地址:http://www.okugho.com/caizhuangguan/caizhuangtaozhuang/201908/2511.html

上一篇:赛门铁克进入风险咨询 下一篇:没有了