Co je detekce narušení?
Detekce narušení se zabývá všimnutím neoprávněných pokusů o přístup k počítačové síti nebo fyzickému počítačovému systému. Jeho účelem je detekovat jakékoli hrozby, které by mohly umožnit přístup k neautorizovaným informacím, negativně ovlivnit integritu dat nebo vést ke ztrátě přístupu v síti. Obvykle je implementováno pomocí systému detekce narušení (IDS), který detekuje, záznamy a zaznamenává různé informace o ostatních připojených k síti nebo přístupu k fyzickému hostiteli. Tyto systémy se mohou pohybovat od softwarových řešení, která jednoduše protokolují dopravní informace po fyzické systémy, které zahrnují bezpečnostní stráže, kamery a senzory pohybu.
Existují tři primární typy detekce narušení, včetně síťových, hostitelských a fyzických metod. Síťové metody se snaží označit podezřelý síťový provoz a obvykle používají programy, které zaznamenávají provoz a pakety protékající síť. Metody založené na hostiteli hledají možné narušení na fyzickém počítačiTEM a zkontrolujte integritu souborů, identifikujte rootkits, sledujte místní zásady zabezpečení a analyzujte protokoly. Fyzické metody se také zabývají identifikací bezpečnostních problémů na fyzických zařízeních a používají fyzické ovládací prvky, jako jsou lidé, bezpečnostní kamery, firewally a senzory pohybu. V mnoha podnikání s důvěrnými daty a kritickými systémy je kombinace těchto metod žádoucí pro nejlepší možné zabezpečení.
Systémy detekce narušení obvykle nebrání vniknutí do narušení; Místo toho jednoduše protokolují události, které se vyskytují, aby ostatní mohli shromažďovat a analyzovat informace. Ačkoli to platí zejména pro metody detekce detekce narušení založených na síti a hostitele, nemusí to platit pro některé fyzické metody, jako jsou firewally a bezpečnostní personál. Firewally často poskytují schopnost blokovat podezřelý provoz a mohou se dozvědět, co je a není povolen přístup. Bezpečnostní personál takémůže zabránit lidem v pronikání fyzicky do společnosti nebo datového centra a monitorované pasti a systémy řízení přístupu jsou další fyzické metody, které mohou někomu zabránit vloupání.
Omezení systémů detekce narušení znamená, že mnoho organizací také používá systém prevence narušení (IPS) k přijetí opatření, když dojde k podezřelé činnosti. Mnoho z těchto systémů zahrnuje funkce systému detekce narušení a poskytuje dobře zaoblený bezpečnostní systém, který je užitečný při reakci na narušení bezpečnosti, je rozhodující. Když IPS zjistí podezřelé porušení provozu nebo porušení politiky, přijme akce nakonfigurované ve svých politikách. Zaměstnanci informační zabezpečení nebo správci systému obvykle nakonfigurují zásady, které IPS používá k odpovědi na každou událost.