По мере того, как компании продолжают расширять использование Интернета в коммерческих целях, количество вторжений в ИТ будет увеличиваться. Эти вторжения известны как нарушения безопасности и приводят к потере конфиденциальной информации, если нарушение позволяет получить доступ к конфиденциальной информации компании. Установка программного обеспечения для обнаружения вторжений - первая линия защиты для большинства компаний. Хотя программное обеспечение для обнаружения вторжений может помочь в обеспечении безопасности сети, оно имеет несколько недостатков.
Исходные адреса
Программное обеспечение для обнаружения вторжений предоставляет информацию на основе сетевого адреса, связанного с IP-пакетом, отправляемым в сеть. Это полезно, если сетевой адрес, содержащийся в IP-пакете, является точным. Однако адрес, содержащийся в IP-пакете, может быть подделан или зашифрован. В любом из этих сценариев ИТ-специалист будет преследовать призраков и не сможет предотвратить вторжения в сеть.
Видео дня
Зашифрованные пакеты
Зашифрованные пакеты не обрабатываются программой обнаружения вторжений. Следовательно, зашифрованный пакет может допускать вторжение в сеть, которое не обнаруживается до тех пор, пока не произойдет более серьезное сетевое вторжение. Зашифрованные пакеты также можно настроить на активацию в определенное время или дату после того, как они были размещены в сети. Это могло привести к появлению вируса или другой программной ошибки, которой можно было бы избежать, если бы программа обнаружения вторжений могла обрабатывать зашифрованные пакеты.
Аналитический модуль
Аналитический модуль имеет ограниченные возможности анализа исходной информации, собираемой при обнаружении вторжений. Результатом этого ограничения является то, что буферизуется только часть исходной информации. В то время как ИТ-специалист, наблюдающий за системой, будет предупрежден об обнаружении ненормального поведения, он не сможет определить, откуда возникло такое поведение. Ответом на эту информацию может быть только попытка остановить несанкционированный доступ к сети. Если бы можно было получить больше информации, ИТ-специалист мог бы принять защитный подход, чтобы предотвратить вторжения в будущем, прежде чем они произойдут.
Ложные срабатывания
Системы обнаружения вторжений способны обнаруживать поведение, которое не является нормальным для обычного использования сети. Хотя хорошо иметь возможность обнаруживать ненормальное использование сети, недостатком является то, что программное обеспечение вторжения может создавать большое количество ложных тревог. Эти ложные срабатывания увеличиваются в сетях с большим количеством пользователей. Чтобы избежать погони за этими ложными тревогами, ИТ-специалисты должны пройти обширную подготовку, чтобы они могли распознавать, что является ложной тревогой, а что нет. Стоимость прохождения этого обучения - еще один недостаток программного обеспечения для обнаружения вторжений, с которым приходится иметь дело компаниям.
