proč by měly být použity systémy prevence narušení?
IPS technologie mohou detekovat nebo zabránit útokům na zabezpečení sítě, jako jsou útoky hrubou silou, útoky odmítnutí služby (DoS) a zneužití zranitelnosti. Zranitelnost je slabinou softwarového systému a zneužití je útok, který využívá tuto zranitelnost k získání kontroly nad systémem., Když je oznámeno zneužití, útočníci často mají příležitost zneužít tuto chybu zabezpečení před aplikací opravy zabezpečení. Systém prevence narušení lze v těchto případech použít k rychlému zablokování těchto útoků.
Protože IPS technologií sledovat toky paketů, mohou být také použity k prosazování používání bezpečnostních protokolů a popírají používání nezabezpečené protokoly jako dřívější verze SSL nebo protokoly používání slabé šifry.
jak fungují systémy prevence narušení?,
IPS technologie mají přístup k paketům, kde jsou nasazeny, buď jako systémy detekce narušení sítě (NIDS), nebo jako systémy detekce narušení hostitele (HIDS). Síť IPS má větší pohled na celou síť a může být buď nasazena inline v síti nebo offline do sítě jako pasivní senzor, který přijímá pakety ze síťového kohoutku nebo portu SPAN.
použitá metoda detekce může být založena na podpisu nebo anomálii. Předdefinované podpisy jsou vzory známých síťových útoků. IPS porovnává toky paketů s podpisem, aby zjistil, zda existuje shoda vzoru., Systémy detekce narušení založené na anomálii používají heuristiku k identifikaci hrozeb, například porovnáním vzorku provozu proti známé základní linii.
jaký je rozdíl mezi ID a IPS?
včasné implementace technologie byly nasazeny v režimu detekce na vyhrazených bezpečnostních zařízeních. Vzhledem k tomu, že technologie dozrála a přesunula se do integrovaného firewallu nové generace nebo zařízení UTM, je výchozí akce nastavena tak, aby zabránila škodlivému provozu.,
v některých případech je rozhodnutí detekovat a přijmout nebo zabránit provozu založeno na důvěře v konkrétní ochranu IPS. Pokud existuje nižší důvěra v ochranu IPS, pak existuje vyšší pravděpodobnost falešných pozitiv. Falešně pozitivní je, když IDS identifikuje aktivitu jako útok, ale aktivita je přijatelné chování. Z tohoto důvodu má mnoho technologií IPS také schopnost zachytit sekvence paketů z události útoku. Ty pak mohou být analyzovány, aby se zjistilo, zda existuje skutečná hrozba a aby se dále zlepšila ochrana IPS.