Hva er intrusjonsdeteksjon?
Inntrengingsdeteksjon omhandler å merke uautoriserte forsøk på å få tilgang til et datanettverk eller fysisk datasystem. Formålet er å oppdage trusler som kan gi tilgang til uautorisert informasjon, påvirke dataintegriteten negativt eller føre til tap av tilgang i et nettverk. Det implementeres vanligvis gjennom bruk av et inntrengingsdeteksjonssystem (IDS) som oppdager, registrerer og logger forskjellige opplysninger om andre som kobler seg til nettverket eller får tilgang til en fysisk vert. Disse systemene kan variere fra programvareløsninger som ganske enkelt logger trafikkinformasjon til fysiske systemer som involverer sikkerhetsvakter, kameraer og bevegelsessensorer.
Det er tre primære typer intrusjonsdeteksjon, inkludert nettverksbaserte, vertsbaserte og fysiske metoder. Nettverksbaserte metoder prøver å flagge mistenkelig nettverkstrafikk og bruker vanligvis programmer som registrerer trafikken og pakker som strømmer gjennom et nettverk. Vertsbaserte metoder ser etter mulige inntrenginger i et fysisk datasystem og ser etter filintegritet, identifiserer rootkits, overvåker lokale sikkerhetspolitikker og analyserer logger. Fysiske metoder tar også for seg å identifisere sikkerhetsproblemer på fysiske enheter og bruker fysiske kontroller, for eksempel mennesker, sikkerhetskameraer, brannmurer og bevegelsessensorer. I mange virksomheter med fortrolige data og kritiske systemer er en kombinasjon av disse metodene ønskelig for best mulig sikkerhet.
Inntrengingsdeteksjonssystemer forhindrer vanligvis ikke at inntrenging skjer; i stedet logger de ganske enkelt hendelser som oppstår slik at andre kan samle og analysere informasjonen. Selv om dette er spesielt sant for nettverksbaserte og vertsbaserte metoder for deteksjon av inntrenging, kan det hende at dette ikke stemmer for noen fysiske metoder, for eksempel brannmurer og sikkerhetspersonell. Brannmurer gir ofte muligheten til å blokkere mistenkelig trafikk og kan lære hva som er og ikke tillatt tilgang. Sikkerhetspersonell kan også forhindre at folk fysisk bryter inn i et selskap eller et datasenter, og overvåkede feller og tilgangskontrollsystemer er andre fysiske metoder som kan forhindre at noen bryter inn.
Begrensningene i inntrengingsdeteksjonssystemer betyr at mange organisasjoner også bruker et inntrengningsforebyggende system (IPS) for å iverksette tiltak når mistenksom aktivitet oppstår. Mange av disse systemene inkluderer funksjonene til et inntrengingsdeteksjonssystem og gir et mer avrundet sikkerhetssystem som er nyttig når du svarer på sikkerhetsbrudd er avgjørende. Når IPS oppdager mistenkelig trafikk eller brudd på retningslinjene, tar den handlingen som er konfigurert i retningslinjene. Ansatte i informasjonssikkerhet eller systemadministratorer konfigurerer vanligvis retningslinjene IPS bruker for å svare på hver enkelt hendelse.