-
a) Bruk antivirus/antiskadevare, fortrinnsvis en sentralisert styrt løsning, for å oppdage og blokkere kjent skadevare som blant annet utnytter sårbarheter i e-postklienter og dokumentlesere.
-
b) Benytt også IDS/IPS-funksjonalitet på klienter og servere.
-
c) Hendelser fra disse verktøyene bør logges, se prinsipp 3.2 - Etabler sikkerhetsovervåkning.
Implementering
a) Bruk antivirus/antiskadevare, fortrinnsvis en sentralisert styrt løsning, for å oppdage og blokkere kjent skadevare som blant annet utnytter sårbarheter i e-postklienter og dokumentlesere.
1. Evaluering og valg av antivirus
Vurder bedriften sine spesifikke behov. inkludert antall enheter, type operativsystemer og eventuelle bransje spesifikke trusler. Se etter antivirus som er designet for bedrifter, med sentralisert administrasjon.
2. Implementering og distribusjon
Begynn gradvis utrulling av produktet til en kontroll gruppe for å teste konfigurasjon og ytelse. Når det er kommet til en konfigurasjon som dere er fornøyd med begynn å rulle dette ut til resten av bedriften.
3. Oppdatering
Det er viktig at Antivirus programmet mottar automatiske oppdateringer, skulle den ikke motta oppdateringer er det mulig at nyere angrep ikke blir detektert.
b) Benytt også IDS/IPS-funksjonalitet på klienter og servere.
IDS/IPS (Intrusion Detection System, Intrusion prevention System) er systemer som hjelper å indentifisere, logge og noen ganger blokkere ondsinnede aktiviteter og angrep før de forårsaker skade.
1. Vurder Behovet
Kartlegg hvilke systemer og data som er mest verdifulle for bedriften og som trenger et ekstra lag med beskyttelse.
2. Velg riktig løsning for bedriften.
Ta en beslutning om du trenger ett nettverksbasert IDS/IPS for å overvåke trafikken på nettverksnivå, eller et vertsbasert IDS/IPS for å beskytte individuelle enheter.
vurder ulike produkter basert på bedriften sitt behov, ytelse, funksjonalitet, kostnad og at det kan integreres mot deres eksisterende infrastruktur.
3. implementering av IDS/IPS
konfigurer løsningen i henhold til organisasjonens sikkerhets policy og best practice. Dette kan inkludere å sette opp regler, signaturer og ekskluderinger som er spesifikt for deres miljø. Gjerne integrer IDS/IPS opp mot andre sikkerhets verktøy som SIEM (Security information & event management) for bedre deteksjon og respons for sikkerhets hendelser. Etter å ha satt opp systemet er det viktig å gjennomføre tester for å sikre at systemet fungerer slik det er ment og ikke gir for mange tilfeller av falsk positive tester.
4. Drift og Vedlikehold
Oppdater systemet med de siste programvare oppdateringer, dette vil hjelpe systemene fange de nyeste truslene som er kjent. finjuster systemet etter det er samlet gode erfaringer og analyse av trussel landskapet.
Avslutning
Implementering av et IDS/IPS system er en krevende og kontinuerlig prosess. Det må gjøres ofte oppdatering for å holde systemene mest mulig effektive. Dette er også ofte noe en bedrift vil få gjort via en sikkerhets leverandør.
lenker
https://www.clearnetwork.com/top-intrusion-detection-and-prevention-systems/