Wat is inbraakdetectie?
Inbraakdetectie houdt zich bezig met het opmerken van ongeautoriseerde pogingen om toegang te krijgen tot een computernetwerk of fysiek computersysteem. Het doel is om bedreigingen te detecteren die toegang tot ongeautoriseerde informatie mogelijk maken, de gegevensintegriteit negatief beïnvloeden of leiden tot verlies van toegang binnen een netwerk. Het wordt meestal geïmplementeerd door het gebruik van een inbraakdetectiesysteem (IDS) dat verschillende informatie detecteert, registreert en registreert over anderen die verbinding maken met het netwerk of toegang hebben tot een fysieke host. Deze systemen kunnen variëren van softwareoplossingen die verkeersinformatie eenvoudig vastleggen tot fysieke systemen met bewakers, camera's en bewegingssensoren.
Er zijn drie primaire soorten inbraakdetectie, waaronder netwerkgebaseerde, hostgebaseerde en fysieke methoden. Op netwerk gebaseerde methoden proberen verdacht netwerkverkeer te markeren en gebruiken meestal programma's die het verkeer en pakketten registreren die door een netwerk stromen. Op host gebaseerde methoden zoeken naar mogelijke inbraken op een fysiek computersysteem en controleren op bestandsintegriteit, identificeren rootkits, bewaken lokaal beveiligingsbeleid en analyseren logs. Fysieke methoden behandelen ook beveiligingsproblemen op fysieke apparaten en maken gebruik van fysieke bedieningselementen, zoals mensen, beveiligingscamera's, firewalls en bewegingssensoren. In veel bedrijven met vertrouwelijke gegevens en kritieke systemen is een combinatie van deze methoden wenselijk voor de best mogelijke beveiliging.
Inbraakdetectiesystemen voorkomen meestal niet dat inbraken optreden; in plaats daarvan registreren ze eenvoudig gebeurtenissen die plaatsvinden, zodat anderen de informatie kunnen verzamelen en analyseren. Hoewel dit met name het geval is voor netwerk- en host-gebaseerde intrusion detection-methoden, is dit mogelijk niet waar voor sommige fysieke methoden, zoals firewalls en beveiligingspersoneel. Firewalls bieden vaak de mogelijkheid om verdacht verkeer te blokkeren en kunnen leren wat wel en geen toegang is. Beveiligingspersoneel kan ook voorkomen dat mensen fysiek inbreken in een bedrijf of datacenter, en bewaakte vallen en toegangscontrolesystemen zijn andere fysieke methoden die kunnen voorkomen dat iemand inbreekt.
De beperkingen van inbraakdetectiesystemen betekenen dat veel organisaties ook een inbraakpreventiesysteem (IPS) gebruiken om actie te ondernemen wanneer verdachte activiteit optreedt. Veel van deze systemen bevatten de functies van een inbraakdetectiesysteem en bieden een beter afgerond beveiligingssysteem dat nuttig is bij het reageren op inbreuken op de beveiliging is van cruciaal belang. Wanneer de IPS verdacht verkeer of beleidsschendingen detecteert, wordt de actie uitgevoerd die is geconfigureerd in zijn beleid. Medewerkers van informatiebeveiliging of systeembeheerders configureren meestal het beleid dat de IPS gebruikt om op elke gebeurtenis te reageren.