Hvad er intrusionsdetektion?
Intrusionsdetektion handler om at bemærke uautoriserede forsøg på at få adgang til et computernetværk eller et fysisk computersystem. Dets formål er at opdage trusler, der kan give adgang til uautoriseret information, negativt påvirke dataintegriteten eller resultere i et tab af adgang i et netværk. Det implementeres normalt ved hjælp af et intrusionsdetekteringssystem (IDS), der registrerer, registrerer og logger forskellige oplysninger om andre, der opretter forbindelse til netværket eller får adgang til en fysisk vært. Disse systemer kan variere fra softwareløsninger, der blot logger trafikinformation til fysiske systemer, der involverer sikkerhedsvagter, kameraer og bevægelsessensorer.
Der er tre primære typer af intrusionsdetektion, herunder netværksbaserede, værtbaserede og fysiske metoder. Netværksbaserede metoder forsøger at markere mistænkelig netværkstrafik og bruger typisk programmer, der registrerer trafikken og pakker, der flyder gennem et netværk. Værtsbaserede metoder søger mulige indtrængen på et fysisk computersystem og kontrollerer for filintegritet, identificerer rootkits, overvåger lokale sikkerhedspolitikker og analyserer logfiler. Fysiske metoder beskæftiger sig også med at identificere sikkerhedsproblemer på fysiske enheder og bruge fysiske kontroller, såsom mennesker, sikkerhedskameraer, firewalls og bevægelsessensorer. I mange forretninger med fortrolige data og kritiske systemer er en kombination af disse metoder ønskelig for den bedst mulige sikkerhed.
Intrusionsdetekteringssystemer forhindrer normalt ikke indtrængen i at ske; I stedet logger de simpelthen begivenheder, der opstår, så andre kan samle og analysere informationen. Selvom dette især gælder for netværksbaserede og værtsbaserede metoder til påvisning af indtrængen, er dette muligvis ikke sandt for nogle fysiske metoder, såsom firewalls og sikkerhedspersonale. Firewalls giver ofte muligheden for at blokere mistænkelig trafik og kan lære, hvad der er og ikke tilladt adgang. Sikkerhedspersonale kan også forhindre folk i at fysisk bryde ind i et firma eller et datacenter, og overvågede fælder og adgangskontrolsystemer er andre fysiske metoder, der kan forhindre nogen i at bryde ind.
Begrænsningerne i intrusionsdetekteringssystemer betyder, at mange organisationer også bruger et intrusionsforebyggelsessystem (IPS) til at gribe ind, når der forekommer mistænksom aktivitet. Mange af disse systemer inkluderer funktionerne i et intrusionsdetekteringssystem og giver et mere afrundet sikkerhedssystem, der er nyttigt, når det reagerer på sikkerhedsbrud, er kritisk. Når IPS registrerer mistænkelige trafik- eller politikovertrædelser, tager den handlingen konfigureret i dens politikker. Medarbejdere i informationssikkerhed eller systemadministratorer konfigurerer normalt de politikker, som IPS bruger til at svare på hver begivenhed.