Host Intrusion Detection Systems en Network Intrusion Detection Systems, of HID's en NID's, zijn computernetwerkbeveiligingssystemen die worden gebruikt om te beschermen tegen virussen, spyware, malware en andere kwaadwillende bestand types. Het verschil is dat HID's alleen op bepaalde kruispunten worden geïnstalleerd, zoals servers en routers, terwijl NID's op elke hostcomputer worden geïnstalleerd.
Doel
Door de snelle toename van netwerkaanvallen zijn HID's en NID's gemeengoed geworden. Hoewel firewalls en antimalware-suites prima zijn voor individuele computers, missen ze de intelligentie die nodig is om een bedrijfsnetwerk te verdedigen. HID's en NID's verzamelen bijvoorbeeld informatie van een netwerk en vergelijken die informatie met vooraf gedefinieerde patronen om aanvallen en kwetsbaarheden te ontdekken. Ze creëren ook databases met normaal gedrag.
Video van de dag
Kernfuncties
HID's onderzoeken specifieke host-gebaseerde acties, zoals welke toepassingen worden gebruikt, welke bestanden worden geopend en welke informatie zich in de kernellogboeken bevindt. NID's analyseren de informatiestroom tussen computers, d.w.z. netwerkverkeer. Ze "snuffelen" in wezen aan het netwerk op verdacht gedrag. Zo kunnen NID's een hacker detecteren voordat hij een ongeoorloofde inbraak kan plegen, terwijl HID's pas weten dat er iets aan de hand is als de hacker het systeem al heeft binnengedrongen.
Hoewel HID's in eerste instantie misschien een slechte oplossing lijken, hebben ze verschillende voordelen. Ten eerste kunnen ze voorkomen dat aanvallen leiden tot schade. Als een kwaadaardig bestand bijvoorbeeld probeert een bestand te herschrijven, kan de HID zijn privileges afsnijden en het in quarantaine plaatsen. HID's kunnen laptops beschermen wanneer ze van een netwerk en in het veld worden gehaald. Uiteindelijk zijn HID's een "laatste verdedigingslinie"-tool die wordt gebruikt om aanvallen af te weren die door de NID worden gemist.
Voordelen van NID's
Waar NID's in uitblinken, is hun vermogen om honderden computersystemen vanaf één netwerklocatie te beschermen. Dit maakt een NID goedkoper - en niet te vergeten, gemakkelijker te implementeren. NID's bieden ook een breder onderzoek van een bedrijfsnetwerk via scans en sondes. Belangrijker is dat NID's beheerders in staat stellen om niet-computerapparatuur, zoals firewalls, printservers, VPN-concentrators en routers, te beschermen. Bijkomende voordelen zijn onder meer flexibiliteit met meerdere besturingssystemen en apparaten, en bescherming tegen bandbreedteoverstromingen en DoS-aanvallen.
Optimale oplossing
Idealiter zou een bedrijfsnetwerk zowel een HID als een NID moeten hebben. De eerste zal lokale machines beschermen en fungeren als een laatste verdedigingslinie, terwijl de NID het eigenlijke netwerk veilig en beveiligd zal houden. Beide zijn in staat om meer beveiliging te bieden dan een enkele firewall of antivirussuite, maar elk mist bepaalde mogelijkheden die de andere wel heeft. Het combineren van de twee is dus de enige manier om een echt robuust defensief netwerk te creëren.