Host Intrusion Detection Systems i Network Intrusion Detection Systems, czyli HID i NID, są systemy bezpieczeństwa sieci komputerowych wykorzystywane do ochrony przed wirusami, oprogramowaniem szpiegującym, złośliwym oprogramowaniem i innymi złośliwymi typy plików. Różnica polega na tym, że identyfikatory HID są instalowane tylko w określonych punktach przecięcia, takich jak serwery i routery, podczas gdy identyfikatory NID są instalowane na każdym komputerze głównym.
Zamiar
Ze względu na szybki wzrost ataków sieciowych, HID i NID stały się powszechne. Chociaż zapory ogniowe i pakiety chroniące przed złośliwym oprogramowaniem są dobre dla pojedynczych komputerów, brakuje im inteligencji niezbędnej do ochrony sieci firmowej. Na przykład, HID i NID zbierają informacje z sieci i porównują je z predefiniowanymi wzorcami, aby wykryć ataki i luki w zabezpieczeniach. Tworzą również bazy danych o normalnym zachowaniu.
Wideo dnia
Podstawowe funkcje
HID sprawdzają określone działania na hoście, takie jak używane aplikacje, do jakich plików uzyskuje się dostęp i jakie informacje znajdują się w dziennikach jądra. NID analizują przepływ informacji między komputerami, tj. ruch sieciowy. Zasadniczo „wyszukują” sieć w poszukiwaniu podejrzanego zachowania. W ten sposób NID mogą wykryć hakera, zanim będzie on w stanie dokonać nieautoryzowanego włamania, podczas gdy HID nie będą wiedzieć, że coś jest nie tak, dopóki haker nie włamał się już do systemu.
Chociaż HID mogą początkowo wydawać się słabym rozwiązaniem, mają kilka zalet. Po pierwsze, mogą zapobiec spowodowaniu jakichkolwiek obrażeń przez ataki. Na przykład, jeśli złośliwy plik spróbuje przepisać plik, HID może odciąć jego uprawnienia i poddać go kwarantannie. HID mogą chronić laptopy, gdy są odłączane od sieci i w terenie. Ostatecznie, HID są narzędziem „ostatniej linii obrony” używanym do odpierania ataków przeoczonych przez NID.
Korzyści z NID
Tam, gdzie NID przodują, jest ich zdolność do ochrony setek systemów komputerowych z jednej lokalizacji sieciowej. To sprawia, że NID jest tańszy - nie wspominając o łatwiejszym wdrożeniu. NID zapewniają również szersze badanie sieci korporacyjnej za pomocą skanów i sond. Co ważniejsze, identyfikatory NID umożliwiają administratorom ochronę urządzeń innych niż komputerowe, takich jak zapory ogniowe, serwery wydruku, koncentratory VPN i routery. Dodatkowe korzyści obejmują elastyczność w obsłudze wielu systemów operacyjnych i urządzeń oraz ochronę przed zalewami przepustowości i atakami DoS.
Optymalne rozwiązanie
W idealnym przypadku sieć korporacyjna powinna zawierać zarówno HID, jak i NID. Pierwszy z nich będzie chronić lokalne maszyny i działać jako ostatnia linia obrony, podczas gdy NID zapewni bezpieczną i bezpieczną sieć. Oba są w stanie zapewnić większe bezpieczeństwo niż jakakolwiek pojedyncza zapora lub pakiet antywirusowy, ale w każdym z nich brakuje pewnych możliwości, które zawiera drugi. Zatem połączenie tych dwóch jest jedynym sposobem na stworzenie naprawdę solidnej sieci obronnej.