O que são ids e ips? qual a diferença entre eles?

Os sistemas de detecção de intrusões (IDS) analisam o tráfego da rede em busca de assinaturas que correspondem aos ataques cibernéticos conhecidos. Os Sistemas de Prevenção de Intrusões (IPS) também analisam pacotes, mas também podem impedir que o pacote seja entregue com base no tipo de ataque que ele detecta - ajudando a interromper o ataque.

Como funcionam os sistemas de detecção de intrusões (IDS) e os sistemas de prevenção de intrusões (IPS)

Os sistemas de detecção de intrusões (IDS) e os sistemas de prevenção de intrusões (IPS) são partes da infraestrutura de rede. O IDS / IPS compara pacotes de rede a um banco de dados de ameaças cibernéticas que contém assinaturas conhecidas de

ataques cibernéticos

- e sinalize todos os pacotes correspondentes.

A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle.

O IDS não altera os pacotes de rede de nenhuma maneira, enquanto o IPS impede a entrega do pacote com base no conteúdo do pacote, como um firewall impede o tráfego pelo endereço IP.

  • Sistemas de detecção de intrusões (IDS): analise e monitore o tráfego da rede em busca de sinais que indiquem que os invasores estão usando uma ameaça cibernética conhecida para se infiltrar ou roubar dados da sua rede. Os sistemas IDS comparam a atividade atual da rede a um banco de dados de ameaças conhecido para detectar vários tipos de comportamentos, como violações de políticas de segurança, malware e scanners de portas.
  • Sistemas de prevenção de intrusões (IPS): residem na mesma área da rede que um firewall, entre o mundo externo e a rede interna. O IPS nega proativamente o tráfego de rede com base em um perfil de segurança se esse pacote representar uma ameaça à segurança conhecida.

Muitos fornecedores de IDS / IPS integraram sistemas IPS mais recentes com firewalls para criar uma tecnologia UTM (Unified Threat Management) que combina a funcionalidade desses dois sistemas semelhantes em uma única unidade. Alguns sistemas fornecem a funcionalidade IDS e IPS em uma unidade.

As diferenças entre IDS e IPS

Fonte da imagem: varonis

O IDS / IPS lê pacotes de rede e compara o conteúdo com um banco de dados de ameaças conhecidas. A principal diferença entre eles é o que acontece a seguir. Os IDS são ferramentas de detecção e monitoramento que não tomam medidas por conta própria. O IPS é um sistema de controle que aceita ou rejeita um pacote com base no conjunto de regras.

O IDS exige que um ser humano ou outro sistema analise os resultados e determine quais ações executar em seguida, o que poderia ser um trabalho em período integral, dependendo da quantidade de tráfego de rede gerado todos os dias. O IDS cria uma melhor ferramenta forense post mortem para o CSIRT usar como parte de suas investigações de incidentes de segurança.

O objetivo do IPS, por outro lado, é capturar pacotes perigosos e descartá-los antes que eles atinjam seu objetivo. É mais passivo que um IDS, exigindo simplesmente que o banco de dados seja atualizado regularmente com novos dados de ameaças.

* Ponto de ênfase: IDS / IPS são tão eficazes quanto seus bancos de dados de ataque cibernético. Mantenha-os atualizados e esteja preparado para fazer ajustes manuais quando um novo ataque ocorrer e / ou a assinatura do ataque não estiver no banco de dados.

Por que IDS e IPS são críticos para a cibersegurança

As equipes de segurança enfrentam uma ameaça crescente de violações de dados e multas por conformidade, enquanto continuam lutando com as limitações de orçamento e a política corporativa. A tecnologia IDS / IPS cobre trabalhos específicos e importantes de um

estratégia de segurança cibernética

:

  • Automação: os sistemas IDS / IPS são amplamente independentes, o que os torna candidatos ideais para uso na pilha de segurança atual. O IPS oferece a tranqüilidade de que a rede está protegida contra ameaças conhecidas com requisitos limitados de recursos.
  • Conformidade: parte da conformidade geralmente exige que você tenha investido em tecnologias e sistemas para proteger os dados. A implementação de uma solução IDS / IPS marca uma caixa na folha de conformidade e aborda vários controles de segurança do CIS. Mais importante, os dados de auditoria são uma parte valiosa das investigações de conformidade.
  • Imposição de políticas: o IDS / IPS é configurável para ajudar a impor políticas de segurança internas no nível da rede. Por exemplo, se você suportar apenas uma VPN, poderá usar o IPS para bloquear outro tráfego da VPN.