ISO 27039 beschrijft de selectie, inzet en werking van inbraakdetectie- en preventiesystemen (IDPS). Wij gaan onderzoeken wat dat betekent.
ISO / IEC 27039:2015 biedt aanbevelingen om organisaties te helpen bij de implementatie van inbraakdetectie- en preventiesystemen (IDPS). ISO 27039 schetst de selectie, implementatie en processen van IDPS. De standaard biedt ook contextinformatie voor deze richtlijnen. Detectie en preventie van inbraak zijn twee brede woorden die praktijken definiëren die worden gebruikt om aanvallen te voorkomen en nieuwe bedreigingen te vermijden.
Detectie van indringers is een reactieve maatregel die aanhoudende bedreigingen detecteert en beperkt met behulp van inbraakdetectie. Het is gewend om:
Inbraakpreventie is een proactieve beveiligingsmaatregel waarbij gebruik wordt gemaakt van een inbraakpreventiesysteem om apparaataanvallen te elimineren. Dat omvat:
Goed ontworpen, geïmplementeerd, geconfigureerd, gecontroleerd en beheerd IDPS, zoals:
De standaard bevat richtlijnen en instructies voor de implementatie van een IDPS.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Organisaties moeten niet alleen weten wat, waar en hoe hun netwerk, apparaat of programma is binnengedrongen. Ook moeten ze weten welke kwetsbaarheid wordt misbruikt en welke voorzorgsmaatregelen er zijn getroffen effectieve risicobehandelingen implementeren om toekomstige problemen te voorkomen.
Organisaties kunnen ook cyberinbraken identificeren en voorkomen. Deze methode omvat een onderzoek van netwerkverkeer en audit sporen voor bekende aanvallen of unieke patronen die doorgaans kwaadaardige bedoelingen impliceren. Halverwege de jaren negentig begonnen bedrijven systemen voor inbraakdetectie en -preventie (IDPS) te gebruiken om aan deze behoeften te voldoen.
Het algemene gebruik van IDPS blijft groeien en er wordt een grotere verscheidenheid aan IDPS-apparaten beschikbaar gesteld om te voldoen aan een groeiend niveau van organisatorische vereisten voor geavanceerde inbraakdetectie.
Inbraakdetectiesystemen zijn meestal geautomatiseerde systemen die aanvallen van hackers en inbraken in een netwerk of apparaat identificeren en alarm slaan. Inbraakpreventie Systemen gaan nog een stap verder in de automatisering door automatisch te reageren op bepaalde methoden van geïdentificeerde aanvallen, zoals het sluiten van specifieke netwerkpoorten, via een firewall, om geïdentificeerd hackerverkeer te blokkeren. IDPS verwijst naar beide typen hiervan.
Een Incident Detection System (IDS) is een hardware- of softwareprogramma dat bekende inbraaksignaturen gebruikt om inkomend en uitgaand netwerkverkeer te identificeren en te analyseren op verdachte activiteiten. Een IDS bereikt dit door:
Bij het detecteren van een inbreuk op de beveiliging, een virus of een configuratiefout, zal een IDS een overtredende gebruiker van het netwerk verwijderen en een waarschuwing naar het beveiligingspersoneel sturen.
Ondanks zijn voordelen heeft een IDS inherente nadelen. Omdat het gevestigde inbraakhandtekeningen gebruikt om aanvallen te vinden. Nieuw ontdekte of zero-day-bedreigingen kunnen onopgemerkt blijven. Een IDS detecteert alleen actieve aanvallen, geen inkomende aanvallen. Om deze te blokkeren is een inbraakpreventiesysteem nodig.
Een Inbraakpreventiesysteem (IPS) vormt een aanvulling op een IDS-installatie door inkomend verkeer proactief te beoordelen om kwaadwillende verzoeken te voorkomen. Een standaard IPS-installatie maakt gebruik van firewalls en verkeersfiltering oplossingen om applicaties te beschermen.
Een IPS vermijdt aanvallen door kwaadaardige pakketten te laten vallen, inbreukmakende IP's te blokkeren en beveiligingspersoneel te waarschuwen voor risico's. Dit apparaat maakt doorgaans gebruik van een reeds bestaande database voor handtekeningherkenning en kan worden ontworpen om op verkeer gebaseerde aanvallen en gedragsonregelmatigheden te detecteren.
Hoewel ze bekende aanvalsvectoren effectief blokkeren, hebben sommige IPS-systemen beperkingen. Deze worden meestal veroorzaakt door een overmatig vertrouwen op vooraf gedefinieerde wetten, waardoor deze kwetsbaar worden voor valse positieven.
ISO heeft deze norm in 2015 uitgebracht. ISO 27039 is gepubliceerd ter vervanging van ISO/IEC 18043:2006. In 2016 herzag het technische corrigendum de beschrijving van de norm, waarbij de opvallend ontbrekende woorden “en preventie” werden hersteld.
ISO/IEC 18043:2006 vaardigde richtlijnen uit voor ondernemingen die ervoor kiezen om inbraakdetectie in hun IT-infrastructuur aan te bieden. Het was een 'how to' voor beheerders en gebruikers die het volgende wilden:
ISO/IEC 18043:2006 verschafte informatie die hielp bij het bevorderen van de samenwerking tussen organisaties die de IDS gebruikten. De structuur maakte het voor organisaties gemakkelijker om informatie te delen over inbraken die de grenzen van de organisatie overschrijden.
ISO/IEC 18043:2006 standaard voorzien:
Download uw gratis gids
om uw Infosec te stroomlijnen
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Beide systemen hebben voor- en nadelen. ISO 27039 bevat specifieke informatie en richtlijnen voor de succesvolle implementatie en toepassing van IDPS's voor alle organisaties.
Hoewel doorgaans gekoppelde eenheden geen enkele wijziging opmerken, zorgt de IPS ervoor dat er minder interferentie is voor de systemen en systemen van organisaties minder veiligheidsincidenten.
IPS houdt alleen het netwerkgedrag bij als het actie onderneemt, waardoor de privacy van netwerkgebruikers wordt beschermd. IPS correleert netwerkverkeer met bestaand kwaadaardig verkeer, maar slaat de inhoud niet op en heeft er geen toegang toe.
Het IPS houdt zich aan een op reputatie gebaseerde lijst van vermoedelijk kwaadaardige sites en domeinen die proactief worden gebruikt om het bedrijf te beveiligen. Bijvoorbeeld: als een medewerker op een verbinding klikt in een phishing-e-mail of een malware-advertentie voor een site op de IPS-weigerlijst van geïdentificeerde kwaadaardige sites, blokkeert het systeem het verkeer en ziet de medewerker een leeg scherm.
IPS biedt bescherming tegen zero-day-aanvallen, vermindert brute force-wachtwoordaanvallen en biedt bescherming tegen risico's voor de toegankelijkheid, zoals DDoS- en DoS-pogingen. Stel bijvoorbeeld dat een crimineel met brute kracht (bijvoorbeeld herhaalde inlogpogingen) toegang probeert te krijgen tot een account. Het IPS zal de omvang van de gegevensbewegingen volgen, verdachte patronen identificeren en de toegang weigeren.
IPS identificeert en reageert op unieke bedreigingen, waardoor instellingen kunnen reageren op gedefinieerde bedreigingen voor het bedrijf.
Het implementeren van een IDS heeft echter zijn eigen voordelen. Deze voordelen omvatten:
De ISO 27039-norm helpt organisaties:
Proberen te ontmoeten ISO 27001 eisen, specifiek Bijlage A.16:
Proberen te voldoen aan de volgende beveiligingsdoelstellingen van ISO 27002
Echter, een organisatie zou het moeten begrijpen dat de implementatie van IDPS geen enkele of volledige aanpak is om aan de vereisten te voldoen. Bovendien is deze internationale norm ook niet bedoeld als richtlijn voor enige nalevingsevaluatie, zoals ISMS-certificering.
Artikel 1: Toepassingsgebied
Artikel 2: Termen en definities
Artikel 3: Achtergrond
Artikel 4: Algemeen
Artikel 5: Selectie
Artikel 6: Inzet
Artikel 7: Operaties
ISO 27039 heeft zeven clausules en één bijlage.
Drie hoofdonderdelen vormen het grootste deel van de standaard:
Bijlage A: Inbraakdetectie- en preventiesysteem (IDPS): kader en kwesties waarmee rekening moet worden gehouden
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering