Najlepší spôsob ochrany jedného počítača alebo siete je detekovať a blokovať útoky skôr, ako môžu spôsobiť akékoľvek škody. Preto môžu byť systémy detekcie narušenia (IDS) a systémy prevencie narušenia (IPS) dobrým doplnkom k firewallu. Čítajte ďalej a zistite viac o systémoch IDS a IPS, o tom, čo majú spoločné a čím sa od seba líšia.

Než sa pustíme do rozdielov medzi IDS a IPS, stručne predstavíme oba systémy. IDS je skratka pre systém detekcie narušenia, ktorý čo najskôr rozpozná útoky na klienta alebo sieť. Ak IDS pri analýze zaznamená neobvyklý dátový tok, pošle správcovi varovanie. Existujú dva rôzne typy IDS, hostiteľské a sieťové. IPS je skratka pre systém prevencie narušenia a označuje systém, ktorý nielen rozpoznáva a hlási potenciálne útoky, ale aj proti nim aktívne zasahuje. IPS tiež používa hostiteľské a sieťové senzory na vyhodnocovanie systémových údajov a sieťových paketov.

Čo majú IDS a IPS spoločné?

Malo by byť už jasné, že IDS a IPS nie sú od seba tak vzdialené. Existuje celý rad vecí, ktoré majú tieto dva systémy spoločné. Niektoré z nich si nižšie predstavíme.

Analýza

V mnohých prípadoch sú metódy, ktoré oba systémy používajú na analýzu, takmer alebo úplne rovnaké. Systémy IDS a IPS používajú senzory na hostiteľskom počítači, v sieti alebo na oboch miestach na kontrolu systémových údajov a dátových paketov v sieti a vyhľadávanie hrozieb. Používajú pevné parametre, aby mohli detekovať odchýlky a zároveň rozpoznať neškodné anomálie. Analýza sa vykonáva pomocou detekcie zneužitia alebo detekcie anomálií. To však znamená, že majú spoločné potenciálne slabé miesta. Jedným z nich je, že pokiaľ ide o detekciu zneužitia, neznáme hrozby môžu byť prehliadnuté. A pri detekcii anomálií sa často hlásia neškodné dátové pakety.

Databáza

Systémy IDS aj IPS používajú databázu, ktorá pomáha rýchlejšie a presnejšie identifikovať hrozby. Čím je knižnica komplexnejšia, tým vyššia bude miera úspešnosti každého systému. Preto systémy IDS a IPS nemožno chápať ako statické systémy, ale ako meniteľné a adaptívne systémy, ktoré sa vďaka aktualizáciám neustále zlepšujú.

Využitie umelej inteligencie

Umelá inteligencia je veľmi dôležitá pre systémy IDS aj IPS. Moderné systémy zlepšujú detekciu hrozieb a rozširujú svoje databázy pomocou strojového učenia. To im umožňuje lepšie pochopiť nové vzory útokov, rozpoznať ich skôr a hlásiť menej neškodných paketov.

Nastavenia

Systémy IDS aj IPS je možné prispôsobiť potrebám siete alebo systému. Správna konfigurácia zabezpečí, že procesy nebudú narušené a že všetky komponenty budú napriek monitorovaniu fungovať bez problémov. To je veľmi dôležité, pretože systémy IDS aj IPS skenujú a analyzujú v reálnom čase.

Automatizácia

IDS a IPS fungujú automaticky a autonómne. Po nakonfigurovaní ich nie je potrebné nikým monitorovať. Plnia svoje úlohy a poskytujú spätnú väzbu len v prípade hrozby.

Detekcia hrozieb a varovanie

Oba systémy majú rovnakú základnú funkciu, ktorou je detekcia hrozieb a okamžité informovanie správcu. Upozornenie môže prísť vo forme e-mailu, oznámenia na smartfóne/tablete alebo ako systémový alarm. Potom môžu zodpovedné osoby rozhodnúť, ako budú postupovať.

Funkcia protokolu

IDS a IPS majú obe funkciu protokolu. To im umožňuje nielen hlásiť/protiútočiť hrozbám, ale aj pridávať ich do svojich vlastných databáz. Vďaka tomu sa časom stávajú silnejšími a môžu identifikovať a vylepšovať slabé miesta.

Kombinácia s firewallmi

Systémy IDS aj IPS by sa mali chápať ako doplnky k firewallu. Aby ste svoj systém čo najlepšie ochránili pred útokmi, mali by ste kombinovať viacero bezpečnostných opatrení. Ak používate len jeden systém IDS alebo IPS, vaša sieť alebo počítač nebudú dostatočne chránené.

Čo odlišuje IDS a IPS od seba?

Ako sme videli vyššie, oba systémy majú veľa spoločného. Existuje však aj niekoľko vecí, ktoré ich odlišujú. Nižšie vysvetľujeme niektoré z najdôležitejších rozdielov medzi IDS a IPS.

Reakcie na hrozby

Ako už bolo spomenuté, systémy IDS aj IPS monitorujú systém a hlásia a zaznamenávajú hrozby. Kým však práca systému IDS tým končí, systém IPS ide ďalej. IPS je aktívny bezpečnostný systém, ktorý autonómne reaguje na hrozby. To môže zahŕňať prerušenie pripojení alebo zastavenie a odstránenie dátových paketov, ak vykazujú abnormality. Systém IDS je naopak pasívny systém, ktorý iba monitoruje a hlási hrozby.

Polohovanie

IDS a IPS sa líšia aj svojím umiestnením. IDS je umiestnený buď na počítači, alebo na okraji siete, kde je najjednoduchšie monitorovať prichádzajúce a odchádzajúce dátové pakety. IPS je naopak umiestnený za firewallom, kde môže nielen hlásiť hrozby, ale aj ich zastaviť.

Typy

Obe riešenia môžu byť založené na hostiteľovi (HIPS) alebo na sieti (NIPS). Na rozdiel od IDS však riešenia IPS môžu byť aj založené na WiFi (WIPS).

Autonómia

IPS pracuje z väčšej časti autonómne a hľadá riešenia pre rôzne druhy hrozieb. IDS tiež autonómne monitoruje dátové pakety, ale nemôže konať samostatne, keď zistí hrozby. Ak je odoslané varovanie, správca bude ten, kto iniciuje reakciu.

Konfigurácia

IDS zvyčajne funguje inline, a preto nemá žiadny negatívny vplyv na výkon siete. Pri nastavovaní konfigurácií je však stále potrebné zvážiť niektoré aspekty. IDS môže napríklad odoslať zistenú hrozbu priamo na router alebo firewall a informovať správcu. IPS naopak môže mať negatívny vplyv na výkon siete. O to dôležitejšie je presné nastavenie systému. Ak prepustí nebezpečné dátové pakety, už nechráni váš systém. Ak však blokuje neškodný prevádzku, môže to ovplyvniť celú sieť.

Prejsť na hlavné menu