Der er forskel på en IDS og en IPS, så hvad er bedre for dig? Og hvordan fungerer de?
Hackere leder altid efter nye måder at få adgang til sikre netværk på. Så alle ansvarlige virksomheder bør beskytte deres netværk ved hjælp af en række sikkerhedsprodukter.
Intrusion detection-systemer er en vigtig del af dette. De giver advarsler, hvis en hacker forsøger at infiltrere et netværk. Systemer til forebyggelse af indtrængen ligner hinanden, men træffer yderligere foranstaltninger, hvis de bemærker et forsøg på indtrængen.
Så hvad er forskellen mellem systemer til indtrængningsdetektion og systemer til forebyggelse af indtrængen? Og hvilken skal du bruge?
Hvad er et indbrudsdetektionssystem?
An intrusion detection system (IDS) overvåger et netværk og sigter mod at detektere alt, der kan tyde på et indtrængen eller angreb. Når den opdager noget, sender den en advarsel til it-teamet.
En IDS kan være både signatur- og anomali-baseret. En signaturbaseret IDS vil opdage adfærd, der vides at matche tidligere angreb. En anomali-baseret IDS vil opdage mistænkelig adfærd.
Der er fire typer af IDS, du skal kende til.
- Netværksbaseret:En IDS som overvåger et helt netværk.
- Værtsbaseret: En IDS, som er installeret på enheder og kun overvåger disse enheder. Dette er nyttigt, hvis du primært er bekymret for specifikke enheder.
- Protokolbaseret: En IDS som er installeret direkte foran en server. Dette er nyttigt til at overvåge internettrafik.
- Applikationsprotokolbaseret: En IDS, som er installeret mellem en gruppe af servere.
Hvad er et system til forebyggelse af indtrængen?
Et system til forebyggelse af indtrængen (IPS) gør, hvad en IDS gør, det vil sige opdager trusler, men forhindrer også indtrængen automatisk. Hvis den opdager noget mistænkeligt, vil den sende en advarsel til netværksadministratoren, men også skride til handling for at stoppe det potentielle angreb.
Hvis en bestemt fil anses for at være mistænkelig, kan den stoppe den med at køre. Eller hvis en bruger er potentielt uautoriseret, kan en IPS logge dem ud.
Ligesom en IDS kan en IPS være enten signatur- eller adfærdsbaseret. Der er også fire typer.
- Netværksbaseret: En IPS som overvåger et helt netværk.
- Værtsbaseret: En IPS som er installeret på bestemte enheder.
- Trådløs-baseret: En IPS som overvåger et individuelt trådløst netværk.
- Netværksadfærdsbaseret: En IPS, som overvåger et helt netværk, men fokuserer på usædvanlig adfærd frem for signaturer.
Den primære fordel ved en IPS frem for en IDS er, at den kan reagere hurtigere på en potentiel indtrængen, og dette kan forhindre skader på netværket.
Den største ulempe ved en IPS er, at når den reagerer på indtrængen automatisk, forårsager dette forstyrrelser på netværket.
Hvad er lighederne mellem IDS og IPS?
Selv de bedste systemer til registrering og forebyggelse af indtrængen ligner hinanden, og mange sikkerhedshændelser kan beskyttes mod af begge. Her er de primære ligheder mellem dem.
Overvågning
Både IDS og IPS kan bruges til at overvåge et netværk og alle enheder, der er tilsluttet det. Dette er nyttigt for at forstå, hvordan brugerne opfører sig.
Advarsler
Begge systemer vil advare dig, hvis de opdager mistænkelig aktivitet. Selvom kun en IPS vil skride til handling efter detektion, kan begge dele advare it-teamet om at indlede yderligere undersøgelse.
Læring
Begge systemer har en tendens til at inkludere maskinlæring, hvilket får dem til at blive mere nøjagtige, jo længere de er i brug. Det betyder, at de bliver bedre til at opdage mistænkelig aktivitet, og at de bør producere færre falske positiver.
Logning
Begge systemer logger alt, hvad der sker på et netværk, inklusive hvordan eventuelle sikkerhedshændelser reageres på.
Implementer politikker
Fordi al brugeradfærd er logget, kan begge systemer bruges til at kræve, at brugere følger sikkerhedspolitikker.
Hvad er forskellene mellem IDS og IPS?
IDS og IPS har vigtige forskelle og kan derfor ikke altid bruges i flæng.
Respons
Kun en IPS reagerer på sikkerhedshændelser. Det betyder, at hvis en IDS opdager en sikkerhedshændelse, er det op til it-teamet at gøre noget ved det, forhåbentlig rettidigt!
Nødvendigheden af IT-personale
Hvis du vælger at bruge en IDS frem for en IPS, skal der være en IT-person til rådighed, som kan reagere hurtigt på eventuelle hændelser. En IPS har ikke dette krav, hvilket er nyttigt for små virksomheder med begrænset it-personale.
Beskyttelse
Fordi en IPS reagerer på sikkerhedshændelser, er det nemt at argumentere for, at det tilbyder overlegen beskyttelse. En IDS giver en it-person mulighed for at beskytte et netværk, men beskytter det faktisk ikke selv.
Disruption
Det automatiske svar fra en IPS er ikke altid at foretrække. I tilfælde af en falsk positiv kan det forstyrre netværket uden grund. På grund af dette, hvis et netværk udfører et vigtigt formål, kan en IDS nogle gange være at foretrække. At vælge mellem dem involverer ofte en afvejning af vigtigheden af oppetid versus vigtigheden af en hurtig reaktion på sikkerhedsproblemer.
Hvilken skal du bruge?
Både en IDS og en IPS kan tilbyde vigtig beskyttelse til et netværk. Det rigtige valg for en virksomhed afhænger af deres specifikke behov.
En virksomhed med en stor it-afdeling kan være fortrolig med at håndtere alle sikkerhedshændelser manuelt, og det kan gøre en IDS til et bedre valg. En virksomhed med en begrænset it-afdeling kunne foretrække automatisering af en IPS, selvom omkostningerne fortsat er en faktor.
Det bør også overvejes, om afbrydelser af et netværk er acceptable. Hvis oppetid og adgang til et netværk er en absolut prioritet, kan en IDS være at foretrække. Netværk, der lagrer meget private oplysninger, kan på den anden side være bedre beskyttet af en IPS uanset ydeevneproblemer.
Kan du bruge et system til indtrængningsdetektion og et system til forebyggelse af indtrængen sammen?
Det er værd at bemærke, at en IDS og en IPS kan bruges samtidigt. Dette giver en virksomhed mulighed for at bruge automatisering til nogle typer sikkerhedshændelser, mens de håndterer andre manuelt eller at bruge forskellige systemer på forskellige områder af netværket. Det er også muligt at installere et system nu og tilføje et andet senere, efterhånden som netværkets størrelse ændres.
Alle netværk skal have beskyttelse mod ubudne gæster
Forebyggelse af indtrængen på et netværk bør være en prioritet for enhver virksomhed. Dårligt sikrede netværk er et attraktivt mål for hackere, og konsekvensen af en indtrængen er tyveri af kundeoplysninger og ransomware-angreb.
Både en IDS og IPS giver en vigtig beskyttelse mod dette. En IDS giver en advarsel, der tillader et it-team at stoppe indtrængen, mens en IPS stopper indtrængen automatisk. Uanset hvilken der er installeret, bliver et netværk væsentligt mere sikkert.