Det er hyppige spørsmål i Snort-brukere epostlisten om bruk Snort til å oppdage virus og ormer. Ved hjelp av Snort for dette formålet er ikke ideelt, siden da noen IDS (Intrusion-deteksjon system) oppdager infeksjonen er det allerede for sent. I noen miljøer (særlig utdanning) kan dette være det eneste alternativet. Bli med Snort-brukere og Snort-SIG lister, og lese i arkivene for mer informasjon.
Så vidt forebygging går, igjen trenger du en lagdelt tilnærming som begynner med politikk og brukeropplæring, og omfatter antivirus-programvare, strenge brannmurregler og herde alle vertene så mye som mulig. En spesiell utfordring er den bærbare brukeren som plugges inn i en ubeskyttet bredbånd hjemme, blir infisert, så bringer smitten tilbake innenfor brannmuren på mandag morgen. Du må ha en e-postpolitikk og sørge for at alle brukere er utdannet om disse farene.
Du må kanskje vurdere strenge arbeidsstasjon politikk, som for eksempel ikke slik at den lokale brukeren skal ha administrative rettigheter, og installere programvare og såkalte personlige brannmurer for bærbare maskiner eller til og med alle brukere. Brannmurregler og enhets hardere redusere muligheter hvor ormer kan spre seg, samt forbedre den generelle sikkerheten. Sikkerhetsproblemer i programvare som ikke er installert er ikke en trussel mot organisasjonen.
IPSes (inntrenging forebyggende systemer) er en annen mulig lag. Disse tar form av en gateway (som en brannmur) eller transparent bro i nettverket, eller som agent programvare på hver maskin. IPSes mål å aktivt hindre aktivitet oppfattes som skadelig. Det viser seg at all skadelig kode prøver å gjøre, er et relativt lite antall ting, så tanken er å hindre at disse tingene skjer, i stedet for reaktivt bygge gigantiske signatur eller HD lister over kjente ondsinnet kode. Problemet er at det er ofte vanskelig å skille mellom godartede og ondsinnet aktivitet, og en IPS kan aktivt bryte nettverket, vert eller program hvis du ikke er veldig forsiktig (og kanskje litt heldig). De er i sterk bedring, slik at de kan være verdt en titt.
Nettverk segmentering eller compartmentalization er en annen mulig containment strategi. Se Marcus Ranum The Big Red Button fra februar 2004 utgaven av Information Security
magasin for en diskusjon.
Til slutt, for å selge ideen til ledelsen må du ha tallene, og du må ha ledelse som er klar over INFOSEC problemer og risiko. Sistnevnte er bedre etter hvert som flere INFOSEC saker treffer mainstream pressen og som ulike lovverk med alvorlige konsekvenser for selskaper og /eller toppledelsen (spesielt Sarbanes-Oxley, Gramm-Leach-Bliley loven Californias SB 1386 og HIPAA). &Quot; Tallene " er forskjellig for hver organisasjon og miljø, men ideen er å vise kostnadene ved den siste infeksjon, forutsi kostnadene for den neste, og så viser den en gang for forebygging er bedre enn et pund av vaksinen. De ulike produktene ovenfor er kapitalkostnader, men det er andre ting du kan gjøre som utdanning, enhet herding, stramme opp brannmurregler og muligens nettverkssegmentering som bare krever din tid og innsats. Til slutt kommer det hele ned til risiko. Har du råd til å ta seg tid til å gjøre dette? Kan du råd til?
For mer info om dette emnet, kan du besøke disse SearchSecurity.com ressurser: Utvalgt Emne: 21. århundre brannmurer
mars 2004 Information Security magasin: Anatomy of a risikovurdering
Security Tips: Nøkler til en effektiv virus hendelsen respons teamet