Dovreste notare due punti soprattutto altri quando legge questo articolo. In primo luogo, non ci sono oggi "misure di un formato tutta la" soluzione di identificazioni sul mercato ed altamente dubito di che ci sarà uno in qualunque momento presto. Il paesaggio del prodotto di identificazioni è vario. I prodotti come i ISS RealSecure sono facili da installare, hanno una vasta gamma delle caratteristiche, ma spesso cadono sopra negli ambienti di alto-larghezza di banda. Il drago di Enterasys effettua bene ed è gradito dalla maggior parte dei individui di UNIX-SAVVY, ma la relativa interfaccia di utente e la curva imparante connessa con il prodotto gireranno via la maggior parte dei coordinatori NT-MESSI a fuoco. L'alimentazione grezza e la semplicità di BlackICE's potrebbero tentare alcune piccole organizzazioni, ma quando dovete controllare le centinaia delle migliaia degli eventi, le identificazioni del Cisco con il Cisco che il responsabile sicuro di politica (CSPM) è una soluzione molto più trattabile. In breve, le organizzazioni devono capire che cosa i loro parametri sono ed adottare un prodotto quel serv migliori quei requisiti.
|
|
In secondo luogo, gli equilibrii del prodotto cambiano quasi annualmente. Per esempio, fra 1999 e 2000, il Cisco è andato da avere una delle interfacce di utente più difettose (un'incisione dell'HP OpenView) nel mercato, ad uno dei la cosa migliore (CSPM). Tra tre anni il prodotto conosciuto come la Identificazione-pista dall'azienda denominata Internet Tools è stato acquistato da Axent, espanso su, relabeled come NetProwler e più successivamente acquistato da Symantec quando Axent e Symantec si sono fusi. NFR Security, Inc. (NFR) era senso davanti alla curva di tecnologia di identificazioni in 1998 ed è considerato da la maggior parte avere luogo piuttosto dietro in 2001. La linea di fondo è questa: Consideri le osservazioni in questo testo, nelle revisioni che sono pubblicate in scomparti ed in niente altro che potrte trovare sul Internet, ma sia cosciente dell'età delle informazioni. Le edizioni rimarranno in qualche modo costanti, ma chi e come sono indirizzati potrebbe cambiare bruscamente in un momento quanto sei mesi. Anche se i prodotti come le pareti refrattarie sono ragionevolmente maturi ed ora principalmente sono differenziati dalle caratteristiche, dalla velocità e dal prezzo, il mercato di identificazioni è qualche cosa ma fa maturare. L'unica cosa che potete essere sicuri sulla parte anteriore di identificazioni è che niente rimarrà lo stesso.
Nel scegliere un sistema di rilevazione di intrusione, capisca che state scegliendo due cose: a) un prodotto e b) un socio (fornitore) che aggiorneranno quel prodotto. Anche se il fornitore (o squadra, nella cassa delle soluzioni di apr-fonte) dietro il prodotto è sempre una considerazione, diventa ancor più critica nel mercato di rilevazione di intrusione. Poiché IDSs dipende così tempo sensibile, in modo da dagli aggiornamenti del prodotto, un buon sistema diventerà sempre più meno utile se non è assistito a a correttamente e regolarmente. La valutazione dell'annotazione di pista del fornitore rispetto agli aggiornamenti del prodotto è uno sforzo degno.
Dal lato del prodotto, ci sono un certo numero di edizioni e di caratteristiche che possono essere trovate nelle identificazioni una, ma non in un altro. Tuttavia, molti "delle flange e dei fischi" di questi prodotti sono giusti che—caratteristiche cute. Assicurisi che valutate i componenti di nucleo in primo luogo ed allora esamini le caratteristiche di indennità. Ciò che segue è una lista dei componenti di nucleo che desidererete valutare quando prendono le decisioni di selezione di identificazioni:
· Profondità di riempimento. Uno dei componenti più importanti di un sistema di rilevazione di intrusione è la relativa capacità di rilevare una grande selezione degli attacchi. Anche se un motore posteriore grande, lle opzioni varie di adattamento e un'interfaccia sono tutta dell'amministrazione della chiazza di petrolio punti di vendita forti, se il prodotto è incapace di rilevazione dei più di una manciata di attacchi, farà poco buon. Assicurisi che tutta la soluzione che di NIDS esaminate è impacchettata con un insieme sano delle firme di attacco. Sulla parte anteriore di HIDS, sia sicuro che il prodotto fa più di alcune lime di ceppo per una manciata di eventi e si assicurano che il prodotto sostiene tutte le piattaforme che dovete controllare. Se, per esempio, Windows NT ma voi di sostegno degli agenti di HIDS soltanto ha sia Solaris che macchine di Linux, voi sta andando venire sullo short rispetto a riempimento generale.
· Esattezza di riempimento. Ciò è un fattore duro da determinare senza la prova completa, ma dovrebbe essere notato che non tutte le firme sono state uguale generato. I positives falsi sono un problema grande con la maggior parte delle soluzioni di NIDS e nei grandi ambienti questi misfires possono compromettere l'efficacia generale dello sforzo di rilevazione di intrusione. I prodotti hanno progettato con la riduzione dei positives falsi in mente diventeranno più desiderabili durante gli anni venturi.
· Architettura robusta. Ci sono componenti multipli ad una soluzione di rilevazione di intrusione ed è importante che sia i motori che la struttura in se di identificazioni sono stati progettati con resistenza in mente. Dal lato di engine/agent, i prodotti dovrebbero potere sostenere entrambi gli attacchi e tecniche di base di evasione. Anche se l'evasione è stata tradizionalmente un problema che ha contagiato i dispositivi di NIDS e molto probabilmente continuerà a disturbarselo per un certo tempo, i fornitori insightful hanno continuato i loro tentativi a richiamare queste edizioni. I fornitori meno insightful hanno scelto ignorarli, che riduce non soltanto l'efficacia del prodotto, ma inoltre riduce la riservatezza fra i professionisti di sicurezza.
· Scalability. Ci sono componenti multipli che interessano IDSs sulla parte anteriore "di scaling", ma i due più grandi sono nelle zone della alto-larghezza di banda che controllano e nell'amministrazione di dati. Le edizioni di larghezza di banda si applicano ai dispositivi di NIDS in quanto molti prodotti hanno problemi controllare la alto-larghezza di banda, ambienti di alto-sessione. Sulla parte anteriore dell'amministrazione, alcuni prodotti lottano con il controllo, la memorizzazione e presentare di grandi volumi dei dati attenti. Per esempio, se schierate alcuni sensori dozzina (ospite o rete-basato) su una rete di high-traffic/high-alert, pomperanno i dati molto di nuovo alle basi di dati e/o alle sezioni comandi centralizzate. Alcuni sistemi posteriori si sbricioleranno sotto tali carichi, o, più difettosi, il volume dei dati lo renderà incredibilmente duro affinchè gli ufficiali di sicurezza fascicoli con gli allarmi. Tuttavia, dovrebbe essere notato che queste edizioni non sono relative in tutti gli ambienti. Per esempio, se state osservando per disporre alcuni dispositivi di identificazione alla vigilanza sopra alcuni collegamenti T1, non siete probabili funzionare nelle edizioni di immagazzinaggio di dati e di larghezza di banda.
· Struttura dell'amministrazione. Sta potendo rilevare gli attacchi è cruciale per identificazioni, ma ugualmente importante l'abilità a chiaramente ed efficientemente presenta i dati relativi a quegli attacchi. Se gli ufficiali di sicurezza non possono accedere facilmente all'attacco ed ai dati attenti, l'utilità generale delle identificazioni sarà limitata. Nel valutare i sistemi di rilevazione di intrusione, sia sicuro utilizzare la sezione comandi dell'amministrazione in un ambiente in tensione. Assicurisi state bene con una struttura dell'amministrazione del sistema ed assicurisi permette che accediate alle informazioni desiderate facilmente. In breve, la struttura dell'amministrazione che è usata per controllare e controllare i dispositivi è quasi importante che quanto i dispositivi essi stessi di NIDS e di HIDS.
· Aggiornamenti attuali. Tanto come nel campo del prodotto di valutazione di vulnerabilità (VA), come nuovi attacchi continui ad emergere l'esigenza degli aggiornamenti attuali del prodotto di identificazioni diventa critico. Il funzionamento identificazioni antiquate è analogo a funzionare un aeroporto senza radar. Anche se gli aggiornamenti sono un'edizione più grande rispetto ai prodotti di NIDS, l'edizione è ancora relativa a tutti i modelli di identificazioni.
· Customizability. Alcuni prodotti di rilevazione di intrusione tengono conto una gamma varia di adattamento, mentre altri sono ragionevolmente statici ed inflessibili. Per alcune organizzazioni, le caratteristiche di tomization di cus non saranno un'edizione grande perché funzioneranno le soluzioni di identificazioni con le configurazioni della fuori-de-$$$-SCATOLA. Per altri, l'adattamento è a deve. Tuttavia quando sceglie un fornitore di identificazioni, è saggio ora valutare i vostri bisogni, così come in avvenire. Anche se non potreste richiedere la capacità di scrivere oggi una firma su ordinazione, potreste avere bisogno di quella funzionalità in avvenire.
· Requisiti stabiliti di abilità. I dispositivi di rilevazione di intrusione dovrebbero essere trattati come qualunque altro componente di impresa che—ha addestrato correttamente il personale dovrebbe funzionare la soluzione. Purtroppo, i coordinatori che i responsabili di una cosa sia sembrano egualmente lanciare da parte sono le edizioni che circondano la manutenzione di identificazioni.
Online: 378 users browsing the articles directory
|
|