Was ist Intrusion Detection?
Intrusion Detection befasst sich mit den bemerkenswerten Versuchen, auf ein Computernetzwerk oder ein physisches Computersystem zuzugreifen. Ziel ist es, Bedrohungen zu erkennen, die den Zugriff auf nicht autorisierte Informationen ermöglichen, die Datenintegrität negativ beeinflussen oder zu einem Zugriffsverlust innerhalb eines Netzwerks führen können. Es wird normalerweise durch die Verwendung eines Intrusion Detection System (IDS) implementiert, das verschiedene Informationen über andere, die sich mit dem Netzwerk verbinden, oder auf einen physischen Host zugreifen, aufzeichnet, aufzeichnet und protokolliert. Diese Systeme können von Softwarelösungen reichen, die einfach Verkehrsinformationen in physischen Systemen protokollieren, die Sicherheitskräfte, Kameras und Bewegungssensoren umfassen. Network-basierte Methoden versuchen, verdächtigen Netzwerkverkehr zu markieren und in der Regel Programme zu verwenden, die den Verkehr und die Pakete aufzeichnen, die durch ein Netzwerk fließen. Hostbasierte Methoden suchen nach möglichen Eindringen in einem physischen ComputersystemTEM und überprüfen Sie die Dateiintegrität, identifizieren Sie RootKits, überwachen Sie lokale Sicherheitsrichtlinien und analysieren Sie Protokolle. Physische Methoden befassen sich auch mit der Identifizierung von Sicherheitsproblemen auf physischen Geräten und verwenden physische Kontrollen wie Personen, Überwachungskameras, Firewalls und Bewegungssensoren. In vielen Unternehmen mit vertraulichen Daten und kritischen Systemen ist eine Kombination dieser Methoden für die bestmögliche Sicherheit wünschenswert.
Intrusionserkennungssysteme verhindern normalerweise nicht, dass Intrusionen auftreten. Stattdessen protokollieren sie einfach Ereignisse, die auftreten, damit andere die Informationen sammeln und analysieren können. Obwohl dies insbesondere für netzwerkbasierte und hostbasierte Intrusion-Erkennungsmethoden gilt, gilt dies möglicherweise nicht für einige physikalische Methoden wie Firewalls und Sicherheitspersonal. Firewalls bieten häufig die Möglichkeit, verdächtigen Verkehr zu blockieren und zu lernen, was ist und nicht zugelassen ist und nicht zugelassen ist. Sicherheitspersonal auchkann verhindern, dass Menschen physisch in ein Unternehmen oder ein Rechenzentrum einbrechen, und überwacht Fallen und Zugangskontrollsysteme sind andere physikalische Methoden, die verhindern können, dass jemand einbricht.
Die Einschränkungen von Intrusionserkennungssystemen bedeuten, dass viele Organisationen auch ein Intrusion Prevention System (IPS) verwenden, um Maßnahmen zu ergreifen, wenn verdächtige Aktivitäten auftreten. Viele dieser Systeme umfassen die Funktionen eines Intrusion Detection-Systems und bieten ein umfassenderes Sicherheitssystem, das bei der Reaktion auf Sicherheitsverletzungen hilfreich ist, ist von entscheidender Bedeutung. Wenn das IPS verdächtigen Verkehrs- oder Richtlinienverstößen erkennt, führt die in ihren Richtlinien konfigurierten Aktionen durch. Mitarbeitersicherheitsmitarbeiter oder Systemadministratoren konfigurieren normalerweise die Richtlinien, mit denen die IPs auf jedes Ereignis reagieren.