Possiamo distribuire in modo intercambiabile HIDS o HIPS invece di NIDS / NIPS, quali sarebbero i rischi, ad esempio se disponete di moduli EPS Symanetec con criteri HIPS abilitati in che modo differiscono da un NIPS o HIPS tradizionale?
No, non è possibile distribuire in modo intercambiabile HI? S contro NI? S. Attaccano sottoinsiemi diversi dello stesso problema.
Molto semplicemente N * è limitato agli input di rete, mentre H * ha accesso a un insieme di input molto più ricco (file! process! ascoltatori di rete!) per giudicare (e ha meno visibilità di rete, quindi di solito non avere l'analisi della rete ricca e il set di firme che fa N *).
Vedi anche Snort può essere configurato come HIDS? .
Detto questo, se la tua preoccupazione è soddisfare un auditor o requisiti di sicurezza che dicono HIDS / NIDS, o lo faranno entrambi - tali requisiti sono spesso scritti esclusivamente con l'obiettivo di assicurarti che stai prendendo ulteriori misure per proteggere te stesso, non con l'obiettivo di dettare una tecnologia o un'altra.
Il rilevamento delle intrusioni dell'host è un'applicazione cooperativa. Il rilevamento delle intrusioni in rete catturerà gli host non collaborativi (ad esempio: macchine Linux che non installano le tue cose), anche se host altamente non collaborativi crittografano anche il loro traffico.