Sistemas de detecção de invasão de host e sistemas de detecção de invasão de rede, ou HIDs e NIDs, são sistemas de segurança de rede de computadores usados para proteger contra vírus, spyware, malware e outros programas maliciosos tipos de arquivo. A diferença é que os HIDs são instalados apenas em determinados pontos de interseção, como servidores e roteadores, enquanto os NIDs são instalados em todas as máquinas host.
Propósito
Devido ao rápido aumento dos ataques à rede, HIDs e NIDs se tornaram comuns. Embora firewalls e suítes anti-malware sejam adequados para computadores individuais, eles não possuem a inteligência necessária para defender uma rede corporativa. Por exemplo, HIDs e NIDs coletam informações de uma rede e comparam essas informações com padrões predefinidos para descobrir ataques e vulnerabilidades. Eles também criam bancos de dados de comportamento normal.
Vídeo do dia
Funções do núcleo
Os HIDs examinam ações baseadas em host específicas, como quais aplicativos estão sendo usados, quais arquivos estão sendo acessados e quais informações residem nos logs do kernel. Os NIDs analisam o fluxo de informações entre computadores, ou seja, o tráfego de rede. Eles essencialmente "farejam" a rede em busca de comportamento suspeito. Assim, os NIDs podem detectar um hacker antes que ele faça uma intrusão não autorizada, enquanto os HIDs não saberão que algo está errado até que o hacker já tenha violado o sistema.
Embora os HIDs possam parecer uma solução ruim no início, eles têm vários benefícios. Por um lado, eles podem evitar que os ataques resultem em qualquer dano. Por exemplo, se um arquivo malicioso tentar reescrever um arquivo, o HID pode cortar seus privilégios e colocá-lo em quarentena. Os HIDs podem manter os laptops protegidos quando eles são retirados da rede e colocados em campo. Em última análise, os HIDs são uma ferramenta de "última linha de defesa" usada para repelir ataques perdidos pelo NID.
Benefícios dos NIDs
Onde os NIDs se destacam é sua capacidade de proteger centenas de sistemas de computador de um local de rede. Isso torna o NID mais barato - sem falar que é mais fácil de implantar. Os NIDs também fornecem um exame mais amplo de uma rede corporativa por meio de varreduras e sondas. Mais importante, os NIDs permitem que os administradores protejam dispositivos que não sejam de computador, como firewalls, servidores de impressão, concentradores VPN e roteadores. Os benefícios adicionais incluem flexibilidade com vários sistemas operacionais e dispositivos e proteção contra inundações de largura de banda e ataques DoS.
Solução Ótima
O ideal é que uma rede corporativa tenha um HID e um NID. O primeiro protegerá as máquinas locais e atuará como uma última linha de defesa, enquanto o NID manterá a rede real segura e protegida. Ambos são capazes de fornecer mais segurança do que qualquer firewall ou suíte antivírus, mas cada um não possui determinados recursos que o outro contém. Portanto, combinar os dois é a única maneira de criar uma rede defensiva verdadeiramente robusta.