C'è qualche buona ragione per scegliere IDS su IPS?

L'ascolto passivo del traffico di rete per rilevare comportamenti sospetti è ancora importante. Ci sono solo alcuni attacchi evidenti che potresti rilevare e bloccare immediatamente, ma c'è molto traffico che sembra solo un po 'sospetto o addirittura innocente. Ma se raccogli informazioni sul traffico per un po 'di tempo e forse da più punti della tua rete, potresti vedere uno schema in questo traffico innocente che indica anomalie o attacchi che cercano di essere invisibili (come APT).

A parte questo, il significato di parole come IDS, IPS o firewall non è chiaramente definito e sono per lo più rimpiazzati oggi da un discorso di marketing ancora più sfocato come "firewall di prossima generazione" o "gestione unificata delle minacce". I classici prodotti IDS come snort, bro e suricata esistono ancora e sono in sviluppo attivo, ma sono per lo più integrati in soluzioni UTM o NGFW o cose con diversi nomi di marketing.

Direi che la ragione principale per cui la maggior parte delle organizzazioni opterebbe per un IDS su un IPS (supponendo che lo facciano) è il fatto che un falso positivo su un IDS è molto meno dannoso del falso positivo di un IPS.

Se un IPS intraprende un'azione scorretta contro il traffico legittimo, pensa è malevolo, allora fa davvero più male che bene.

Vendono ancora IDS? Penso che oggigiorno la maggior parte dei venditori disponga di un dispositivo di prevenzione delle intrusioni. Questo dispositivo può essere configurato per funzionare in modalità "IDS" o "IPS". In effetti puoi persino essere specifico come dire che un determinato set di firme rileva, non previene. Lo faresti per le firme che notoriamente generano molti falsi positivi. E per qualche altra serie di firme di cui sei molto sicuro, potresti dire al dispositivo di rilevare e prevenire. Sono finiti i giorni in cui c'era una linea chiara tra ciò che è considerato un IDS e ciò che è considerato un IPS.