C'è qualche buona ragione per scegliere IDS su IPS?

2

Per quanto ne so,

IDS annusa il traffico di rete e, se viene rilevata un'intrusione, lo segnala.

E IPS annusa il traffico di rete e, se viene rilevata un'intrusione, la rifiuta e segnala perché è stata bloccata. Ho ragione?

E ho letto che alcuni IPS possono anche essere configurati per non rilasciare pacchetti, solo per segnalarli.

Oltre alla capacità di analizzare l'intrusione e intervenire personalmente, c'è qualche altra buona ragione per scegliere IDS su IPS? Forse il cartellino del prezzo?

    
posta mau5 11.09.2014 - 04:08
fonte

3 risposte

7

L'ascolto passivo del traffico di rete per rilevare comportamenti sospetti è ancora importante. Ci sono solo alcuni attacchi evidenti che potresti rilevare e bloccare immediatamente, ma c'è molto traffico che sembra solo un po 'sospetto o addirittura innocente. Ma se raccogli informazioni sul traffico per un po 'di tempo e forse da più punti della tua rete, potresti vedere uno schema in questo traffico innocente che indica anomalie o attacchi che cercano di essere invisibili (come APT).

A parte questo, il significato di parole come IDS, IPS o firewall non è chiaramente definito e sono per lo più rimpiazzati oggi da un discorso di marketing ancora più sfocato come "firewall di prossima generazione" o "gestione unificata delle minacce". I classici prodotti IDS come snort, bro e suricata esistono ancora e sono in sviluppo attivo, ma sono per lo più integrati in soluzioni UTM o NGFW o cose con diversi nomi di marketing.

    
risposta data 11.09.2014 - 07:41
fonte
6

Direi che la ragione principale per cui la maggior parte delle organizzazioni opterebbe per un IDS su un IPS (supponendo che lo facciano) è il fatto che un falso positivo su un IDS è molto meno dannoso del falso positivo di un IPS.

Se un IPS intraprende un'azione scorretta contro il traffico legittimo, pensa è malevolo, allora fa davvero più male che bene.

    
risposta data 11.09.2014 - 04:35
fonte
2

Vendono ancora IDS? Penso che oggigiorno la maggior parte dei venditori disponga di un dispositivo di prevenzione delle intrusioni. Questo dispositivo può essere configurato per funzionare in modalità "IDS" o "IPS". In effetti puoi persino essere specifico come dire che un determinato set di firme rileva, non previene. Lo faresti per le firme che notoriamente generano molti falsi positivi. E per qualche altra serie di firme di cui sei molto sicuro, potresti dire al dispositivo di rilevare e prevenire. Sono finiti i giorni in cui c'era una linea chiara tra ciò che è considerato un IDS e ciò che è considerato un IPS.

    
risposta data 11.09.2014 - 06:12
fonte

Leggi altre domande sui tag