Det er forskjeller mellom en IDS og en IPS, så hva er best for deg? Og hvordan fungerer de?
Hackere leter alltid etter nye måter å få tilgang til sikre nettverk på. Så alle ansvarlige virksomheter bør beskytte nettverkene sine ved å bruke en rekke sikkerhetsprodukter.
Inntrengningsdeteksjonssystemer er en viktig del av dette. De gir varsler hvis en hacker prøver å infiltrere et nettverk. Inntrengningsforebyggende systemer er like, men iverksetter ytterligere tiltak hvis de oppdager et inntrengingsforsøk.
Så hva er forskjellen mellom inntrengningsdeteksjonssystemer og inntrengningsforebyggende systemer? Og hvilken bør du bruke?
Hva er et inntrengningsdeteksjonssystem?
An inntrengningsdeteksjonssystem (IDS) overvåker et nettverk og tar sikte på å oppdage alt som kan indikere et inntrenging eller angrep. Når den oppdager noe, sender den et varsel til IT-teamet.
En IDS kan være både signatur- og anomalibasert. En signaturbasert IDS vil oppdage atferd som er kjent for å matche tidligere angrep. En anomalibasert IDS vil oppdage mistenkelig atferd.
Det er fire typer IDS du trenger å vite om.
- Nettverksbasert:En IDS som overvåker et helt nettverk.
- Vertsbasert: En IDS som er installert på enheter og kun overvåker disse enhetene. Dette er nyttig hvis du først og fremst er bekymret for spesifikke enheter.
- Protokollbasert: En IDS som er installert rett foran en server. Dette er nyttig for å overvåke internettrafikk.
- Programprotokollbasert: En IDS som er installert mellom en gruppe servere.
Hva er et inntrengingsforebyggende system?
Et inntrengningsforebyggende system (IPS) gjør det en IDS gjør, det vil si oppdager trusler, men forhindrer også inntrenging automatisk. Hvis den oppdager noe mistenkelig, vil den sende et varsel til nettverksadministratoren, men også iverksette tiltak for å stoppe det potensielle angrepet.
Hvis en bestemt fil anses som mistenkelig, kan den stoppe den. Eller hvis en bruker er potensielt uautorisert, kan en IPS logge dem ut.
I likhet med en IDS kan en IPS være enten signatur- eller atferdsbasert. Det er også fire typer.
- Nettverksbasert: En IPS som overvåker et helt nettverk.
- Vertsbasert: En IPS som er installert på bestemte enheter.
- Trådløst-basert: En IPS som overvåker et individuelt trådløst nettverk.
- Nettverksatferdsbasert: En IPS som overvåker et helt nettverk, men som fokuserer på uvanlig atferd i stedet for signaturer.
Den primære fordelen med en IPS fremfor en IDS er at den kan reagere raskere på et potensielt inntrenging, og dette kan forhindre skade på nettverket.
Den største ulempen med en IPS er at når den reagerer på inntrengninger automatisk, forårsaker dette forstyrrelser på nettverket.
Hva er likhetene mellom IDS og IPS?
Selv de beste systemene for registrering og forebygging av inntrenging er like og mange sikkerhetshendelser kan beskyttes mot av begge. Her er de primære likhetene mellom dem.
Overvåkning
Både IDS og IPS kan brukes til å overvåke et nettverk og alle enheter som er koblet til det. Dette er nyttig for å forstå hvordan brukere oppfører seg.
Varsler
Begge systemene vil varsle deg hvis de oppdager mistenkelig aktivitet. Selv om bare en IPS vil iverksette tiltak ved oppdagelse, kan begge varsle IT-teamet om å sette i gang videre etterforskning.
Læring
Begge systemene har en tendens til å inkludere maskinlæring som gjør at de blir mer nøyaktige jo lenger de er i bruk. Dette betyr at de vil bli bedre til å oppdage mistenkelig aktivitet og at de bør produsere færre falske positiver.
Hogst
Begge systemene logger alt som skjer på et nettverk, inkludert hvordan eventuelle sikkerhetshendelser reageres på.
Implementere retningslinjer
Fordi all brukeratferd logges, kan begge systemene brukes til å kreve at brukerne følger sikkerhetspolicyer.
Hva er forskjellene mellom IDS og IPS?
IDS og IPS har viktige forskjeller og kan derfor ikke alltid brukes om hverandre.
Respons
Bare en IPS reagerer på sikkerhetshendelser. Dette betyr at hvis en IDS oppdager en sikkerhetshendelse, er det opp til IT-teamet å gjøre noe med det, forhåpentligvis i tide!
Nødvendigheten av IT-personell
Hvis du velger å bruke en IDS fremfor en IPS, må det være en IT-person tilgjengelig som kan reagere raskt på eventuelle hendelser. En IPS har ikke dette kravet som er nyttig for små bedrifter med begrenset IT-personell.
Beskyttelse
Fordi en IPS reagerer på sikkerhetshendelser, er det lett å argumentere for at den tilbyr overlegen beskyttelse. En IDS lar en IT-person beskytte et nettverk, men beskytter det faktisk ikke selv.
Avbrudd
Den automatiske responsen til en IPS er ikke alltid å foretrekke. I tilfelle en falsk positiv, kan det forstyrre nettverket uten grunn. På grunn av dette, hvis et nettverk utfører et viktig formål, kan en IDS noen ganger være å foretrekke. Å velge mellom dem innebærer ofte å veie viktigheten av oppetid mot viktigheten av en rask respons på sikkerhetsproblemer.
Hvilken bør du bruke?
Både en IDS og en IPS kan tilby viktig beskyttelse for et nettverk. Det riktige valget for en bedrift avhenger av deres spesifikke behov.
En bedrift med en stor IT-avdeling kan være komfortabel med å håndtere alle sikkerhetshendelser manuelt, og dette kan gjøre en IDS til et bedre valg. En virksomhet med en begrenset IT-avdeling kan foretrekke automatisering av en IPS, selv om kostnadene fortsatt er en faktor.
Akseptasjonen av avbrudd i et nettverk bør også vurderes. Hvis oppetid og tilgang til et nettverk er en absolutt prioritet, kan en IDS være å foretrekke. Nettverk som lagrer svært privat informasjon, derimot, kan være bedre beskyttet av en IPS uavhengig av ytelsesproblemer.
Kan du bruke et inntrengningsdeteksjonssystem og et system for inntrengingsforebygging sammen?
Det er verdt å merke seg at en IDS og en IPS kan brukes samtidig. Dette gjør at en virksomhet kan bruke automatisering for noen typer sikkerhetshendelser mens de håndterer andre manuelt eller å bruke forskjellige systemer på forskjellige områder av nettverket. Det er også mulig å installere ett system nå og legge til et annet senere ettersom størrelsen på nettverket endres.
Alle nettverk bør ha beskyttelse mot inntrengere
Å forhindre inntrenging i et nettverk bør være en prioritet for enhver virksomhet. Dårlig sikrede nettverk er et attraktivt mål for hackere og konsekvensen av et inntrenging er tyveri av kundeinformasjon og løsepenge-angrep.
Både en IDS og IPS gir en viktig beskyttelse mot dette. En IDS gir et varsel som lar et IT-team stoppe inntrengninger, mens en IPS stopper inntrengninger automatisk. Uansett hvilken som er installert, blir et nettverk betydelig sikrere.