Les systèmes de détection d'intrusion hôte et les systèmes de détection d'intrusion réseau, ou HID et NID, sont systèmes de sécurité de réseau informatique utilisés pour protéger contre les virus, les logiciels espions, les logiciels malveillants et autres types de fichier. La différence est que les HID sont installés uniquement sur certains points d'intersection, tels que les serveurs et les routeurs, tandis que les NID sont installés sur chaque machine hôte.
But
En raison de l'augmentation rapide des attaques de réseau, les HID et les NID sont devenus monnaie courante. Alors que les pare-feu et les suites anti-malware conviennent aux ordinateurs individuels, ils ne disposent pas de l'intelligence nécessaire pour défendre un réseau d'entreprise. À titre d'exemple, les HID et les NID collectent des informations à partir d'un réseau et comparent ces informations à des modèles prédéfinis pour découvrir les attaques et les vulnérabilités. Ils créent également des bases de données de comportement normal.
Vidéo du jour
Fonctions principales
Les HID examinent des actions spécifiques basées sur l'hôte, telles que les applications utilisées, les fichiers auxquels on accède et les informations qui résident dans les journaux du noyau. Les NID analysent le flux d'informations entre les ordinateurs, c'est-à-dire le trafic réseau. Ils "reniflent" essentiellement le réseau en cas de comportement suspect. Ainsi, les NID peuvent détecter un pirate informatique avant qu'il ne soit en mesure de faire une intrusion non autorisée, tandis que les HID ne sauront que tout va bien jusqu'à ce que le pirate informatique ait déjà violé le système.
Bien que les HID puissent sembler être une mauvaise solution au premier abord, ils présentent plusieurs avantages. D'une part, ils peuvent empêcher les attaques d'entraîner des dommages. Par exemple, si un fichier malveillant tente de réécrire un fichier, le HID peut couper ses privilèges et le mettre en quarantaine. Les HID peuvent protéger les ordinateurs portables lorsqu'ils sont retirés d'un réseau et sur le terrain. En fin de compte, les HID sont un outil de "dernière ligne de défense" utilisé pour parer les attaques manquées par le NID.
Avantages des JNV
Là où les NID excellent, c'est leur capacité à protéger des centaines de systèmes informatiques à partir d'un emplacement réseau. Cela rend un NID moins cher, sans parler de son déploiement plus facile. Les NID fournissent également un examen plus large d'un réseau d'entreprise via des analyses et des sondes. Plus important encore, les NID permettent aux administrateurs de protéger les périphériques non informatiques, tels que les pare-feu, les serveurs d'impression, les concentrateurs VPN et les routeurs. Les avantages supplémentaires incluent la flexibilité avec plusieurs systèmes d'exploitation et appareils, et la protection contre les inondations de bande passante et les attaques DoS.
Solution optimale
Idéalement, un réseau d'entreprise devrait comporter à la fois un HID et un NID. Le premier protégera les machines locales et agira comme dernière ligne de défense, tandis que le NID assurera la sécurité du réseau réel. Les deux sont capables de fournir plus de sécurité que n'importe quel pare-feu ou suite antivirus, mais chacun manque de certaines capacités que l'autre contient. Ainsi, combiner les deux est le seul moyen de créer un réseau défensif vraiment robuste.
