Qu'est-ce que la détection d'intrusion?
La détection d'intrusion traite de la remarque des tentatives non autorisées pour accéder à un réseau informatique ou un système informatique physique. Son objectif est de détecter toute menace qui pourrait permettre l'accès à des informations non autorisées, affecter négativement l'intégrité des données ou entraîner une perte d'accès au sein d'un réseau. Il est généralement mis en œuvre grâce à l'utilisation d'un système de détection d'intrusion (IDS) qui détecte, enregistre et enregistre diverses informations sur les autres se connectant au réseau ou accédant à un hôte physique. Ces systèmes peuvent aller des solutions logicielles qui enregistrent simplement les informations de trafic vers des systèmes physiques qui impliquent des agents de sécurité, des caméras et des capteurs de mouvement.
Il existe trois types principaux de détection d'intrusion, y compris des méthodes basées sur le réseau, basées sur l'hôte et physiques. Les méthodes basées sur le réseau essaient de signaler le trafic réseau suspect et utilisent généralement des programmes qui enregistrent le trafic et les paquets circulant dans un réseau. Les méthodes basées sur l'hôte recherchent des intrusions possibles sur un système informatique physiqueTEM et vérifier l'intégrité des fichiers, identifier les rootkits, surveiller les politiques de sécurité locales et analyser les journaux. Les méthodes physiques traitent également de l'identification des problèmes de sécurité sur les appareils physiques et utilisent des contrôles physiques, tels que les personnes, les caméras de sécurité, les pare-feu et les capteurs de mouvement. Dans de nombreuses entreprises avec des données confidentielles et des systèmes critiques, une combinaison de ces méthodes est souhaitable pour la meilleure sécurité possible.
Les systèmes de détection des intrusions n'empêchent généralement pas les intrusions de se produire; Au lieu de cela, ils enregistrent simplement les événements qui se produisent afin que d'autres puissent rassembler et analyser les informations. Bien que cela soit particulièrement vrai pour les méthodes de détection d'intrusion basées sur les réseaux et basées sur l'hôte, cela peut ne pas être vrai pour certaines méthodes physiques, telles que les pare-feu et le personnel de sécurité. Les pare-feu offrent souvent la possibilité de bloquer le trafic suspect et peuvent apprendre ce qui est et n'est pas autorisé à accéder. Personnel de sécurité égalementPeut empêcher les gens de pénétrer physiquement dans une entreprise ou un centre de données, et les pièges et les systèmes de contrôle d'accès surveillés sont d'autres méthodes physiques qui peuvent empêcher quelqu'un de pénétrer.
Les limites des systèmes de détection d'intrusion signifient que de nombreuses organisations utilisent également un système de prévention des intrusions (IPS) pour agir lorsque l'activité suspecte se produit. Beaucoup de ces systèmes incluent les fonctions d'un système de détection d'intrusion et fournissent un système de sécurité plus bien équilibré qui est utile lorsque la réponse aux violations de sécurité est essentielle. Lorsque l'IPS détecte un trafic suspect ou des violations de politique, il prend l'action configurée dans ses politiques. Les employés de la sécurité de l'information ou les administrateurs système configurent généralement les politiques utilisées par l'IPS pour répondre à chaque événement.