IDS och IPS

En av de första säkerhets verktyg var intrångsdetekteringssystem (IDS). Verktyget utvecklades först av SRI International 1984. En IDS ger realtidsdetektering av vissa typer av attacker medan de pågår. Det gör att nätverkssäkerhets specialister snabbt kan reagera och minska de negativa effekterna av attackerna.

Ett intrångsdetekteringssystem (IDS) är utformat för att övervaka all inkommande och utgående nätverksaktivitet och identifiera eventuella misstänkta mönster som kan indikera en attack mot ett nätverk- eller system. Ett IDS anses vara ett passivt övervakningssystem, eftersom en IDS-produkters huvuduppgift är att varna nätverksadministratörer om misstänkt aktivitet som äger rum, inte förhindra det.

Några IDS mjukvara som exempel: SolarWinds Security Event Manager, CrowdStrike Falcon, ManageEngine EventLog Analyzer, flera till. Cisco tillhandahåller ett fritt IDS och IPS program Snort. Dessutom består vissa IDS av både programvaror och hårdvaruapparater samt sensorer som installeras på olika strategiska platser.

I slutet av 1990-talet, började Intrusion Prevention System (IPS) att ersätta IDS. Dessa IPS-sensorer gjorde möjligt att upptäcka skadlig aktivitet och automatiskt blockera attacken i realtid.

IPS eller intrångsförhindrande system är definitivt nästa nivå av säkerhetsteknik med förmåga att tillhandahålla säkerhet på alla systemnivåer, från operativsystem till datapaket. IPS tillhandahåller regler för nätverkstrafik och det kan det göra tillsammans med en IDS. Dessa två säkerhetsmaskiner varnar skadliga aktivitet samtidigt som förhindrar  misstänkta trafik och låta säkerhetsansvariga vidta åtgärder. Följ länken som visar olika produkter rörande IPS

För närvarande finns det två typer av IPS som liknar IDS. De består av host-baserade för intrångsskyddssystem (HIPS) och nätverksbaserade intrångsskyddssystem (NIPS).

Bild 3: Intrusion Detection System – IDS

Bild 4: Intrusion Prevention System – IPS

Skillnader mellan IDS och IPS

  • Där IDS informerar om en eventuell attack, försöker en IPS att stoppa den.
  • Ett annat stort steg över IDS är att IPS har förmåga att förhindra kända intrångs signaturer, men även några okända attacker på grund av sin databas över generiska attackbeteenden. IPS är allmänt ansedd vara “nästa generation” av IDS.

Här nedan förklarar Keith Barker, i en video på YouTube, skillnader mellan IDS och IPS