Saldırı Tespit veya Korunma
Tam Interpro Forum ? Güvenlik 2004'e konuşmacı olarak davet edilip Saldırı Tespit Sistemi / Saldırı Engelleme Sistemi (IDS/IPS) kavramları, farkları, benzerlikleri hakkında konuşmam istendiği günlerde, böyle bir site kurmayı düşünüyordum. Bilgi güvenliği kavramına çok yakıştırdığım deniz feneri metaforunu, Interpro'daki sunuşun arka planı yaparken de, bilgiguvenligi.org sitesini açtığımda deniz feneri görüntüsünü kullanma niyetim vardı. O kadar ki, hem deniz feneri resmini, hem de bilgiguvenligi.org adresini sunum sayfalarında kullanmıştım.Bu niyetin yüzü suyu hürmetine, ilk yazılardan birisi olarak o toplantıda yaptığım sunumu siteye yerleştireyim istedim. Yerleştirmeden önce baktım, her ne kadar geçen zaman içinde IPS yetenekleri ilk baştakine göre gelişmiş olsa da, sunumda söylediklerim halen geçerli.
IDS/IPS teknolojileri ?yerleştir ve unut? teknolojiler değillerdir. IDS ürünleri ile ilgili ?destekli? şikayetler, teknolojideki hatalardan çok bunları kullananların süreçlerinden ve hatalarından kaynaklanmaktadır. IDS ve IPS ürünleri arasındaki iddia edilen farkın önemli bir bölümü teknoloji kaynaklı olmaktan çok pazarlama kaynaklıdır. İyi bir saldırı tespit teknolojisine sahip kuruluş bunu her iki çözümünde de kullanabilir. Teknoloji odaklı bir proje hangi ürünü veya teknolojiyi seçerse seçsin başarısızlık tehdidi ile karşı karşıyadır. IDS / IPS kullanabilecek ve mekanizmayı yönetebilecek süreçler geliştirmek başarı için şarttır. Bu nedenle, bilişim güvenliği konusunda çok ileri durumdaki kuruluşlar hariç, teknoloji detaylarına takılmak yerine, bilgi varlıkları envanterlerine sahip olmalı, hangi bilgi varlığını ne seviyede korumak istediklerine karar vermelidirler, ki buna bağlı olarak o kuruluş için yüksek - orta - düşük öncelikli saldırı tipleri tarif edilebilsin. IDS/IPS teknolojisini, koruduğu envanterin niteliğine göre optimize ederek, tespit edilen saldırı ve sızmalara ne yapılacağına karar vermeli. Sistemlerdeki güvenlik açıklarını, bulmak, gidermek ve yama seviyelerini yönetmek için politika ve süreçler mevcut değilken, problemin teknoloji yatırımı ile çözüleceğini düşünmek yanlış olacaktır. Bu tip bir bakış açısı, loglarına nadiren bakılan, saldırı imzaları güncellendikçe, IDS/IPS politikası detaylandırılmayan, varlık envanteri ve vaka çeşitliliği değiştikçe, politikalarını buna uydurmayan, bir kenarda öylece duran IDS/IPS'ler yaratmaya mahkum.
Tam da, IPS fırtınasının ilk zamanlarında söylediğim gibi, bu teknolojiyi satın alan kuruluşlar yeni veya eski IPS yeteneklerini kullanmak konusunda aynı davranışları göstermeye devam ettikleri için kullanımda değişen pek bir şey olmadığını görüyoruz. Peki, ne oldu da, bu teknolojinin adı değişti? Ah pazarlama, sen nelere kadirsin.
Sunum:Saldırı Tespit veya Korunma: Yeni Bir Dünya, Ya da ...
