Co je detekce narušení?
Detekce narušení se zabývá upozorněním na neautorizované pokusy o přístup k počítačové síti nebo fyzickému počítačovému systému. Jeho účelem je odhalit jakékoli hrozby, které by mohly umožnit přístup k neautorizovaným informacím, negativně ovlivnit integritu dat nebo vést ke ztrátě přístupu v síti. Obvykle se provádí pomocí systému detekce narušení (IDS), který detekuje, zaznamenává a zaznamenává různé informace o ostatních, kteří se připojují k síti nebo přistupují k fyzickému hostiteli. Tyto systémy se mohou pohybovat od softwarových řešení, která jednoduše zaznamenávají dopravní informace, až po fyzické systémy, které zahrnují bezpečnostní stráže, kamery a snímače pohybu.
Existují tři primární typy detekce narušení, včetně síťových, hostitelských a fyzických metod. Metody založené na síti se pokoušejí označit podezřelý síťový provoz a obvykle používají programy, které zaznamenávají provoz a pakety protékající sítí. Metody založené na hostiteli hledají možné vniknutí do fyzického počítačového systému a kontrolují integritu souborů, identifikují rootkity, monitorují místní bezpečnostní zásady a analyzují protokoly. Fyzické metody také řeší identifikaci bezpečnostních problémů na fyzických zařízeních a používají fyzické ovládací prvky, jako jsou lidé, bezpečnostní kamery, firewally a pohybové senzory. V mnoha obchodech s důvěrnými daty a kritickými systémy je kombinace těchto metod žádoucí pro co nejlepší zabezpečení.
Systémy detekce narušení obvykle nebrání útokům; místo toho jednoduše zaznamenávají události, které se vyskytují, aby ostatní mohli shromažďovat a analyzovat informace. Ačkoli to platí zejména pro metody detekce narušení založené na síti a hostiteli, nemusí to platit pro některé fyzické metody, jako jsou brány firewall a bezpečnostní personál. Brány firewall často umožňují blokovat podezřelý provoz a mohou se dozvědět, co je a není povolen přístup. Bezpečnostní pracovníci také mohou zabránit lidem v fyzickém proniknutí do společnosti nebo datového centra a monitorované pasti a systémy kontroly přístupu jsou další fyzické metody, které mohou někomu zabránit v proniknutí.
Omezení systémů detekce narušení znamená, že mnoho organizací také používá systém prevence narušení (IPS), aby podniklo kroky, když dojde k podezřelé činnosti. Mnoho z těchto systémů zahrnuje funkce systému detekce narušení a poskytuje dokonalejší systém zabezpečení, který je užitečný při reakci na narušení bezpečnosti je kritický. Když IPS zjistí podezřelý provoz nebo porušení zásad, provede akci nakonfigurovanou ve svých zásadách. Zaměstnanci informační bezpečnosti nebo správci systému obvykle konfigurují zásady, které IPS používá k reakci na každou událost.