Vous devriez noter deux points surtout d'autres en lisant cet article. D'abord, il n'y a aucun d'"ajustement une taille toute la" solution d'identifications sur le marché aujourd'hui, et je doute fortement qu'il y ait d'un n'importe quand bientôt. Le paysage de produit d'identifications est divers. Il est facile installer des produits comme des ISS RealSecure, ont un éventail de dispositifs, mais tombent souvent plus de dans des environnements de haut-largeur de bande. Le dragon d'Enterasys exécute bien et est aimé par la plupart des individus d'UNIX-savvy-savvy, mais sa interface utilisateur et la courbe d'étude liée au produit tourneront loin la plupart des administrateurs NT-FOCALISÉS. La puissance crue et la simplicité de BlackICE's pourraient tenter quelques petits organismes, mais quand vous devez contrôler des centaines de milliers d'événements, identifications du Cisco avec le Cisco le directeur que bloqué de politique (CSPM) est une solution beaucoup plus maniable. En bref, les organismes doivent comprendre ce que sont leurs paramètres, et adopter un produit ce les meilleurs services ces conditions.
|
|
En second lieu, les équilibres de produit changent presque annuellement. Par exemple, entre 1999 et 2000, le Cisco est allé d'avoir une des plus mauvaises interfaces utilisateur (une entaille de HP OpenView) sur le marché, à un des meilleure (CSPM). En trois ans chronométrez le produit connu sous le nom d'Identification-voie de la compagnie appelée Internet Tools a été acquis par Axent, augmenté au moment, relabeled comme NetProwler, et plus tard acquis par Symantec quand Axent et Symantec ont fusionné. NFR Security, Inc. (NFR) était manière en avant de la courbe de technologie d'identifications en 1998, et est considéré comme par les la plupart pour avoir lieu légèrement derrière en 2001. La ligne de fond est ceci : Considérez les commentaires dans ce texte, les revues qui sont édités en magasins, et toute autre chose que vous pourriez trouver sur l'Internet, mais soyez conscient de l'âge d'information. Les issues resteront quelque peu constantes, mais qui et comment ils sont adressés pourrait changer dans aussi sous peu un moment que six mois. Bien que les produits comme des murs à l'épreuve du feu soient assez mûrs, et soient maintenant la plupart du temps différenciés par des dispositifs, vitesse, et prix, le marché d'identifications est quelque chose mais mûrit. La seule chose que vous pouvez être sûr de sur l'avant d'identifications est que rien ne demeurera le même.
En choisissant un système de détection d'intrusion, comprenez que vous choisissez deux choses : a) un produit et b) un associé (fournisseur) qui mettront à jour ce produit. Bien que le fournisseur (ou l'équipe, dans le cas des solutions d'ouvrir-source) derrière le produit soit toujours une considération, elle devient bien plus critique sur le marché de détection d'intrusion. Puisqu'iDSs dépendent ainsi temps sensible, ainsi des mises à jour de produit, un bon système deviendra de plus en plus moins utile s'il n'est pas occupé correctement et régulièrement. L'évaluation de l'expérience professionnelle du fournisseur en vue de des mises à jour de produit est un digne effort.
Du côté de produit, il y a un certain nombre d'issues et de dispositifs qui peuvent être trouvés dans les identifications une, mais pas dans des autres. Cependant, plusieurs des "cloches et des sifflements" de ces produits sont justes que—les dispositifs mignons. Assurez-vous que vous évaluez les composants de noyau d'abord, et puis examinez les dispositifs de bonification. Ce qui suit est une liste de composants de noyau que vous voudrez évaluer en prenant des décisions de choix d'identifications :
· Profondeur d'assurance. Un des composants plus importants d'un système de détection d'intrusion est sa capacité de détecter une grande sélection d'attaques. Bien qu'un grand moteur principal, des options diverses de personnalisation, et une interface lisse soient tous de gestion les points de vente forts, si le produit est incapable de détecter plus qu'une poignée d'attaques, cela fera peu bon. Assurez-vous que n'importe quelle solution de NIDS que vous examinez est empaquetée avec un ensemble sain de signatures d'attaque. Sur l'avant de HIDS, soyez sûr que le produit fait plus qu'inspectent quelques dossiers de notation pour assurer une poignée d'événements, et s'assurent que le produit soutient toutes les plateformes que vous devez surveiller. Si, par exemple, Windows NT mais vous de soutien d'agents de HIDS seulement a Solaris et des machines de Linux, vous vont monter sous peu en vue de l'assurance globale.
· Exactitude d'assurance. C'est un facteur dur à déterminer sans essai complet, mais il convient noter que non toutes les signatures ont été égale créée. Les positifs faux sont un grand problème avec la plupart des solutions de NIDS, et dans de grands environnements ces ratés peuvent compromettre l'efficacité globale de l'effort de détection d'intrusion. Les produits ont conçu avec la réduction de positifs faux à l'esprit deviendront plus souhaitables en prochaines années.
· Architecture robuste. Il y a les composants multiples à une solution de détection d'intrusion, et il est important que les moteurs et le cadre d'identifications lui-même aient été conçus avec la force à l'esprit. Du côté d'engine/agent, les produits devraient pouvoir résister aux deux attaques et techniques de base d'évasion. Bien que l'évasion ait traditionnellement été un problème qui a infesté des dispositifs de NIDS, et continuera très probablement à les préoccuper pendant un certain temps, les fournisseurs perspicaces ont continué leurs tentatives à aborder ces questions. Les fournisseurs moins perspicaces ont choisi de les ignorer, qui réduit non seulement l'efficacité de produit, mais réduit également la confiance parmi des professionnels de sécurité.
· Scalability. Il y a des composants multiples qui affectent IDSs sur l'avant d'"graduation", mais les deux plus grands sont dans les secteurs de la haut-largeur de bande surveillant et la gestion des données. Les issues de largeur de bande appliquent aux dispositifs de NIDS du fait beaucoup de produits ont des problèmes surveiller la haut-largeur de bande, des environnements de haut-session. Sur l'avant de gestion, quelques produits luttent avec surveiller, stocker, et présenter de grands volumes de données alertes. Par exemple, si vous déployez quelques sondes douzaine (centre serveur ou réseau-basé) sur un réseau de high-traffic/high-alert, elles pomperont beaucoup de données de nouveau aux bases de données et/ou aux consoles centralisées. Quelques systèmes principaux s'émietteront sous de telles charges, ou, plus mauvaises, le volume de données le rendra incroyablement dur pour que les officiers de sécurité assortissent par les alertes. Cependant, il convient noter que ces questions ne sont pas appropriées dans tous les environnements. Par exemple, si vous regardez pour placer quelques dispositifs d'identification à la montre au-dessus de quelques raccordements T1, vous n'êtes pas susceptible de courir dans des issues de stockage de largeur de bande et de données.
· Cadre de gestion. Peut détecter des attaques est crucial pour des identifications, mais également important les capacités présentent à clairement et efficacement les données liées à ces attaques. Si les officiers de sécurité ne peuvent pas accéder facilement à l'attaque et aux données alertes, l'utilité globale des identifications sera limitée. En évaluant des systèmes de détection d'intrusion, soyez sûr d'utiliser la console de gestion dans un environnement de phase. Assurez-vous vous êtes confortable avec un cadre de la gestion de système, et assurez-vous qu'il vous permet d'accéder à l'information que vous voulez facilement. En bref, le cadre de gestion qui est employé pour commander et surveiller les dispositifs est presque aussi important que les dispositifs de HIDS et de NIDS eux-mêmes.
· Mises à jour opportunes. Tout comme dans le champ de produit d'évaluation de vulnérabilité (VA), en tant que nouvelles attaques continuez à apprêter le besoin de mises à jour opportunes de produit d'identifications devient critique. Le fonctionnement des identifications périmées est analogue à actionner un aéroport sans radar. Bien que les mises à jour soient une plus grande issue en vue de des produits de NIDS, la question est encore appropriée à tous les modèles d'identifications.
· Customizability. Quelques produits de détection d'intrusion tiennent compte d'une gamme diverse de la personnalisation, tandis que d'autres sont assez statiques et inflexibles. Pour quelques organismes, les dispositifs de tomization de cus ne seront pas une grande issue parce qu'ils actionneront des solutions d'identifications avec des configurations de dehors-de-le-boîte. Pour d'autres, la personnalisation est a doit. Cependant, en choisissant un fournisseur d'identifications, il est sage d'évaluer vos besoins maintenant, aussi bien qu'à l'avenir. Bien que vous ne pourriez pas avoir besoin de la capacité d'écrire une signature faite sur commande aujourd'hui, vous pourriez avoir besoin de cette fonctionnalité à l'avenir.
· Conditions réglées de compétence. Des dispositifs de détection d'intrusion devraient être traités comme n'importe quel autre composant d'entreprise qu'il—a correctement formé le personnel devrait actionner la solution. Malheureusement, les administrateurs et les directeurs d'une chose semblent de même mouler de côté sont les issues entourant l'entretien d'identifications.
Online: 366 users browsing the articles directory
|
|