I sistemi di rilevamento delle intrusioni dell'host e i sistemi di rilevamento delle intrusioni di rete, o HID e NID, sono sistemi di sicurezza della rete informatica utilizzati per proteggere da virus, spyware, malware e altri dannosi tipi di file. La differenza è che gli HID sono installati solo su determinati punti di intersezione, come server e router, mentre i NID sono installati su ogni macchina host.
Scopo
A causa del rapido aumento degli attacchi alla rete, HID e NID sono diventati all'ordine del giorno. Sebbene i firewall e le suite anti-malware vadano bene per i singoli computer, mancano dell'intelligenza necessaria per difendere una rete aziendale. Ad esempio, HID e NID raccolgono informazioni da una rete e confrontano tali informazioni con modelli predefiniti per scoprire attacchi e vulnerabilità. Creano anche database di comportamento normale.
Video del giorno
Funzioni principali
Gli HID esaminano azioni specifiche basate sull'host, come quali applicazioni vengono utilizzate, a quali file si accede e quali informazioni risiedono nei log del kernel. I NID analizzano il flusso di informazioni tra i computer, ovvero il traffico di rete. Essenzialmente "annusano" la rete per comportamenti sospetti. Pertanto, i NID possono rilevare un hacker prima che sia in grado di effettuare un'intrusione non autorizzata, mentre gli HID non sapranno che qualcosa non va finché l'hacker non avrà già violato il sistema.
Sebbene all'inizio gli HID possano sembrare una soluzione scadente, hanno diversi vantaggi. Per uno, possono impedire agli attacchi di provocare danni. Ad esempio, se un file dannoso tenta di riscrivere un file, l'HID può tagliare i suoi privilegi e metterlo in quarantena. Gli HID possono proteggere i laptop quando vengono rimossi da una rete e portati sul campo. In definitiva, gli HID sono uno strumento di "ultima linea di difesa" utilizzato per respingere gli attacchi mancati dal NID.
Vantaggi NID
Dove eccellono i NID è la loro capacità di proteggere centinaia di sistemi informatici da un'unica posizione di rete. Ciò rende un NID meno costoso, per non dire più facile da implementare. I NID forniscono anche un esame più ampio di una rete aziendale tramite scansioni e sonde. Ancora più importante, i NID consentono agli amministratori di proteggere i dispositivi non informatici, come firewall, server di stampa, concentratori VPN e router. Ulteriori vantaggi includono la flessibilità con più sistemi operativi e dispositivi e la protezione da inondazioni di larghezza di banda e attacchi DoS.
Soluzione ottimale
Idealmente, una rete aziendale dovrebbe presentare sia un HID che un NID. Il primo proteggerà le macchine locali e fungerà da ultima linea di difesa, mentre il NID manterrà la rete effettiva e protetta. Entrambi sono in grado di fornire una maggiore sicurezza rispetto a qualsiasi singolo firewall o suite antivirus, ma a ciascuno mancano alcune funzionalità che l'altro contiene. Pertanto, combinare i due è l'unico modo per creare una rete difensiva davvero robusta.
