ISO 27039

Boek een demo

glimlachend,Indiaas,zakenman,werken,laptop,in,modern,kantoor,lobby

ISO 27039 beschrijft de selectie, inzet en werking van inbraakdetectie- en preventiesystemen (IDPS). Wij gaan onderzoeken wat dat betekent.

Wat is ISO 27039?

ISO / IEC 27039:2015 biedt aanbevelingen om organisaties te helpen bij de implementatie van inbraakdetectie- en preventiesystemen (IDPS). ISO 27039 schetst de selectie, implementatie en processen van IDPS. De standaard biedt ook contextinformatie voor deze richtlijnen. Detectie en preventie van inbraak zijn twee brede woorden die praktijken definiëren die worden gebruikt om aanvallen te voorkomen en nieuwe bedreigingen te vermijden.

Detectie van indringers is een reactieve maatregel die aanhoudende bedreigingen detecteert en beperkt met behulp van inbraakdetectie. Het is gewend om:

  • Malware detecteren (bijv. Trojaanse paarden, backdoors, rootkits)
  • Het detecteren van social engineering-aanvallen waarbij gebruikers worden gemanipuleerd om vertrouwelijke gegevens vrij te geven (bijvoorbeeld phishing)

Inbraakpreventie is een proactieve beveiligingsmaatregel waarbij gebruik wordt gemaakt van een inbraakpreventiesysteem om apparaataanvallen te elimineren. Dat omvat:

  • Externe bestandsinsluitingen die malware-injectie mogelijk maken,
  • SQL-injecties die worden gebruikt om door bedrijfsdatabases te navigeren.

Goed ontworpen, geïmplementeerd, geconfigureerd, gecontroleerd en beheerd IDPS, zoals:

  • Automatisering optimaliseert beveiligingsprofessionals die netwerkbeveiligingsincidenten moeten volgen, evalueren en zo goed mogelijk moeten reageren;
  • Automatisering heeft de neiging de identificatie van en de reactie op aanvallen te versnellen, vooral veelvoorkomende soorten aanvallen die ondubbelzinnig kunnen worden geïdentificeerd via unieke handtekeningen;
  • Ze stellen gerust beheer dat beveiligingsproblemen op netwerken en netwerkapparaten worden gedetecteerd en verholpen.

De standaard bevat richtlijnen en instructies voor de implementatie van een IDPS.

ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.

Peter Risdon
CISO, Viitaal

Boek uw demo

Zie ons platform in actie
Ontdek meer

Wat zijn inbraakdetectie- en preventiesystemen?

Organisaties moeten niet alleen weten wat, waar en hoe hun netwerk, apparaat of programma is binnengedrongen. Ook moeten ze weten welke kwetsbaarheid wordt misbruikt en welke voorzorgsmaatregelen er zijn getroffen effectieve risicobehandelingen implementeren om toekomstige problemen te voorkomen.

Organisaties kunnen ook cyberinbraken identificeren en voorkomen. Deze methode omvat een onderzoek van netwerkverkeer en audit sporen voor bekende aanvallen of unieke patronen die doorgaans kwaadaardige bedoelingen impliceren. Halverwege de jaren negentig begonnen bedrijven systemen voor inbraakdetectie en -preventie (IDPS) te gebruiken om aan deze behoeften te voldoen.

Het algemene gebruik van IDPS blijft groeien en er wordt een grotere verscheidenheid aan IDPS-apparaten beschikbaar gesteld om te voldoen aan een groeiend niveau van organisatorische vereisten voor geavanceerde inbraakdetectie.

Inbraakdetectiesystemen zijn meestal geautomatiseerde systemen die aanvallen van hackers en inbraken in een netwerk of apparaat identificeren en alarm slaan. Inbraakpreventie Systemen gaan nog een stap verder in de automatisering door automatisch te reageren op bepaalde methoden van geïdentificeerde aanvallen, zoals het sluiten van specifieke netwerkpoorten, via een firewall, om geïdentificeerd hackerverkeer te blokkeren. IDPS verwijst naar beide typen hiervan.

Een Incident Detection System (IDS) is een hardware- of softwareprogramma dat bekende inbraaksignaturen gebruikt om inkomend en uitgaand netwerkverkeer te identificeren en te analyseren op verdachte activiteiten. Een IDS bereikt dit door:

  • Systeembestanden vergelijken met handtekeningen van malware.
  • Scanprocessen om gevaarlijke patronen te identificeren.
  • Volg gebruikersacties op kwade bedoelingen.
  • Controleer apparaatconfiguraties en parameters.

Bij het detecteren van een inbreuk op de beveiliging, een virus of een configuratiefout, zal een IDS een overtredende gebruiker van het netwerk verwijderen en een waarschuwing naar het beveiligingspersoneel sturen.

Ondanks zijn voordelen heeft een IDS inherente nadelen. Omdat het gevestigde inbraakhandtekeningen gebruikt om aanvallen te vinden. Nieuw ontdekte of zero-day-bedreigingen kunnen onopgemerkt blijven. Een IDS detecteert alleen actieve aanvallen, geen inkomende aanvallen. Om deze te blokkeren is een inbraakpreventiesysteem nodig.

Een Inbraakpreventiesysteem (IPS) vormt een aanvulling op een IDS-installatie door inkomend verkeer proactief te beoordelen om kwaadwillende verzoeken te voorkomen. Een standaard IPS-installatie maakt gebruik van firewalls en verkeersfiltering oplossingen om applicaties te beschermen.

Een IPS vermijdt aanvallen door kwaadaardige pakketten te laten vallen, inbreukmakende IP's te blokkeren en beveiligingspersoneel te waarschuwen voor risico's. Dit apparaat maakt doorgaans gebruik van een reeds bestaande database voor handtekeningherkenning en kan worden ontworpen om op verkeer gebaseerde aanvallen en gedragsonregelmatigheden te detecteren.

Hoewel ze bekende aanvalsvectoren effectief blokkeren, hebben sommige IPS-systemen beperkingen. Deze worden meestal veroorzaakt door een overmatig vertrouwen op vooraf gedefinieerde wetten, waardoor deze kwetsbaar worden voor valse positieven.

De geschiedenis van ISO/IEC 27039:2015

ISO heeft deze norm in 2015 uitgebracht. ISO 27039 is gepubliceerd ter vervanging van ISO/IEC 18043:2006. In 2016 herzag het technische corrigendum de beschrijving van de norm, waarbij de opvallend ontbrekende woorden “en preventie” werden hersteld.

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 vaardigde richtlijnen uit voor ondernemingen die ervoor kiezen om inbraakdetectie in hun IT-infrastructuur aan te bieden. Het was een 'how to' voor beheerders en gebruikers die het volgende wilden:

  • Om de kosten en voordelen van een IDS te begrijpen
  • Opstellen van een beleid en implementatieplan voor de IDS
  • Om de uitgangen van de IDS efficiënt te controleren
  • Het monitoren van inbreuken integreren in de veiligheidsprocedures van de organisatie
  • Om rekening te houden met de juridische en privacyproblemen die gepaard gaan met de introductie van de IDS

ISO/IEC 18043:2006 verschafte informatie die hielp bij het bevorderen van de samenwerking tussen organisaties die de IDS gebruikten. De structuur maakte het voor organisaties gemakkelijker om informatie te delen over inbraken die de grenzen van de organisatie overschrijden.

ISO/IEC 18043:2006 standaard voorzien:

  • Een korte beschrijving van het inbraakdetectieproces
  • Een uitleg van wat de IDS wel en niet kan doen
  • Een checklist die hielp bij het bepalen van de beste IDS-functies voor een bepaalde IT-omgeving
  • Een definitie van verschillende implementatiestrategieën
  • Advies over het beheren van IDS-waarschuwingen
  • Een verklaring voor management- en juridische zorgen

Download uw brochure

Transformeer uw bestaande ISMS

Download uw gratis gids
om uw Infosec te stroomlijnen

Ontvang uw gratis gids

We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Perry Bowles
Technical Director ZIPTECH
100% van onze gebruikers slaagt in de eerste keer voor de certificering
Boek uw demo

Wat zijn de voordelen van ISO 27039?

Beide systemen hebben voor- en nadelen. ISO 27039 bevat specifieke informatie en richtlijnen voor de succesvolle implementatie en toepassing van IDPS's voor alle organisaties.

Minder veiligheidsincidenten.

Hoewel doorgaans gekoppelde eenheden geen enkele wijziging opmerken, zorgt de IPS ervoor dat er minder interferentie is voor de systemen en systemen van organisaties minder veiligheidsincidenten.

Selectief inloggen en de privacy beschermen

IPS houdt alleen het netwerkgedrag bij als het actie onderneemt, waardoor de privacy van netwerkgebruikers wordt beschermd. IPS correleert netwerkverkeer met bestaand kwaadaardig verkeer, maar slaat de inhoud niet op en heeft er geen toegang toe.

Gerenommeerde beheerde beveiliging

Het IPS houdt zich aan een op reputatie gebaseerde lijst van vermoedelijk kwaadaardige sites en domeinen die proactief worden gebruikt om het bedrijf te beveiligen. Bijvoorbeeld: als een medewerker op een verbinding klikt in een phishing-e-mail of een malware-advertentie voor een site op de IPS-weigerlijst van geïdentificeerde kwaadaardige sites, blokkeert het systeem het verkeer en ziet de medewerker een leeg scherm.

Beveiliging tegen meerdere bedreigingen

IPS biedt bescherming tegen zero-day-aanvallen, vermindert brute force-wachtwoordaanvallen en biedt bescherming tegen risico's voor de toegankelijkheid, zoals DDoS- en DoS-pogingen. Stel bijvoorbeeld dat een crimineel met brute kracht (bijvoorbeeld herhaalde inlogpogingen) toegang probeert te krijgen tot een account. Het IPS zal de omvang van de gegevensbewegingen volgen, verdachte patronen identificeren en de toegang weigeren.

Gevaar voor dynamische reactie

IPS identificeert en reageert op unieke bedreigingen, waardoor instellingen kunnen reageren op gedefinieerde bedreigingen voor het bedrijf.

Het implementeren van een IDS heeft echter zijn eigen voordelen. Deze voordelen omvatten:

  • Met behulp van de handtekeningendatabase zorgt IDS voor een snelle en efficiënte identificatie van geïdentificeerde afwijkingen met een lage kans op vals alarm.
  • Het analyseert verschillende soorten bedreigingen, detecteert trends in kwaadaardige inhoud en helpt beheerders bij het afhandelen van problemen. adequate controles te beheren en af ​​te dwingen.
  • Het helpt de handhaving van de regelgeving te garanderen en te voldoen aan de veiligheidsvoorschriften, omdat het een grotere zichtbaarheid biedt binnen het hele netwerk.
  • Hoewel IDS meestal een passief apparaat is, kunnen sommige actieve IDS, terwijl ze waarschuwingen detecteren en genereren, IP-adressen blokkeren of de toegang tot bronnen verhinderen wanneer er een afwijking wordt gedetecteerd.

Wie kan ISO 27039 implementeren?

De ISO 27039-norm helpt organisaties:

Proberen te ontmoeten ISO 27001 eisen, specifiek Bijlage A.16:

  • De organisatie implementeert procedures en andere maatregelen die een snelle identificatie en identificatie mogelijk maken reactie op beveiligingsincidenten
  • Om pogingen tot en succesvolle inbreuken op de beveiliging en incidenten beter te kunnen detecteren, zal het bedrijf monitoring- en evaluatieprocedures en andere controles uitvoeren

Proberen te voldoen aan de volgende beveiligingsdoelstellingen van ISO 27002

  • Het opsporen van illegale informatieverwerkingsactiviteiten;
  • Bewakingssystemen met informatiebeveiligingsactiviteiten gedocumenteerd, waarbij gebruik wordt gemaakt van operatorlogboeken en foutregistratie om apparaatproblemen op te sporen
  • Het streven om te voldoen aan alle toepasselijke wettelijke criteria voor haar monitoring- en rapportageactiviteiten
  • Systeemmonitoring om de doeltreffendheid van de geïmplementeerde controles te bevestigen naleving van een toegangsbeleid verifiëren model

Echter, een organisatie zou het moeten begrijpen dat de implementatie van IDPS geen enkele of volledige aanpak is om aan de vereisten te voldoen. Bovendien is deze internationale norm ook niet bedoeld als richtlijn voor enige nalevingsevaluatie, zoals ISMS-certificering.

Bouw de business case voor uw ISMS

Haal je gids

Ontdek hoe betaalbaar uw ISMS zou kunnen zijn
Vraag uw offerte aan

ISO/IEC 27039:2015-clausules

Artikel 1: Toepassingsgebied

Artikel 2: Termen en definities

Artikel 3: Achtergrond

Artikel 4: Algemeen

Artikel 5: Selectie

  • 1 Inleiding
  • 2 Risicobeoordeling van informatiebeveiliging
  • 3 Host- of netwerk-IDPS
  • 4 overwegingen
  • 5 tools die de schaalbaarheid van IDPS5.6 aanvullen
  • 7 Technische ondersteuning
  • 8 Opleiding

Artikel 6: Inzet

  • 1 Overzicht
  • 2 Gefaseerde implementatie
  • 3 NIDPS-implementatie
  • 4 HIDPS-implementatie
  • 5 Beveiliging van IDPS-informatie beveiligen en beschermen

Artikel 7: Operaties

  • 1 Overzicht
  • 2 IDPS-afstemming
  • 3 IDPS-kwetsbaarheden
  • 4 IDPS-waarschuwingen afhandelen
  • 5 antwoordopties
  • 6 Juridische overwegingen

ISO/IEC 27039:2015-vereisten

ISO 27039 heeft zeven clausules en één bijlage.

Drie hoofdonderdelen vormen het grootste deel van de standaard:

  • Clausule 5: IDPS-reeks - verschillende vormen van IDPS, complementaire hulpmiddelen enz. die in overweging moeten worden genomen (meer gedetailleerd in de bijlage)
  • Artikel 6: IDPS-implementatie
  • Artikel 7: Activiteiten voor IDPS

ISO/IEC 27039:2015 Bijlage A Clausules

Bijlage A: Inbraakdetectie- en preventiesysteem (IDPS): kader en kwesties waarmee rekening moet worden gehouden

  • 1 Inleiding tot inbraakdetectie
  • 2 Soorten inbraken en aanvallen
  • 3 Generiek model van het inbraakdetectieproces
  • 4 soorten IDPS
  • 5-architectuur
  • 6 Beheer van een IDPS

Ontdek andere normen binnen de ISO 27k-familie

  • 1De ISO 27000-familie
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27038

ISO 27040 »

100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering

Begin vandaag nog met uw reis
Kijk hoe wij u kunnen helpen

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie