Co to jest wykrywanie wtargnięcia?
Wykrywanie włamań polega na wykrywaniu nieautoryzowanych prób uzyskania dostępu do sieci komputerowej lub fizycznego systemu komputerowego. Jego celem jest wykrycie wszelkich zagrożeń, które mogłyby pozwolić na dostęp do nieautoryzowanych informacji, negatywnie wpłynąć na integralność danych lub spowodować utratę dostępu do sieci. Zwykle jest realizowany za pomocą systemu wykrywania włamań (IDS), który wykrywa, rejestruje i rejestruje różne informacje o innych łączących się z siecią lub uzyskujących dostęp do hosta fizycznego. Systemy te mogą obejmować zarówno rozwiązania programowe, które po prostu rejestrują informacje o ruchu drogowym, jak i systemy fizyczne obejmujące ochroniarzy, kamery i czujniki ruchu.
Istnieją trzy podstawowe typy wykrywania włamań, w tym metody sieciowe, oparte na hoście i fizyczne. Metody sieciowe próbują oflagować podejrzany ruch sieciowy i zwykle używają programów, które rejestrują ruch i pakiety przepływające przez sieć. Metody oparte na hoście szukają możliwych włamań do fizycznego systemu komputerowego i sprawdzają integralność plików, identyfikują rootkity, monitorują lokalne zasady bezpieczeństwa i analizują logi. Metody fizyczne zajmują się także identyfikowaniem problemów związanych z bezpieczeństwem na urządzeniach fizycznych i stosowaniem kontroli fizycznych, takich jak ludzie, kamery bezpieczeństwa, zapory ogniowe i czujniki ruchu. W wielu firmach posiadających poufne dane i krytyczne systemy pożądane jest połączenie tych metod w celu uzyskania najlepszego możliwego bezpieczeństwa.
Systemy wykrywania włamań zwykle nie zapobiegają włamaniom; zamiast tego rejestrują po prostu zdarzenia, aby inni mogli gromadzić i analizować informacje. Chociaż dotyczy to w szczególności metod wykrywania włamań opartych na sieci i hoście, może nie być tak w przypadku niektórych metod fizycznych, takich jak zapory ogniowe i personel bezpieczeństwa. Zapory ogniowe często zapewniają możliwość blokowania podejrzanego ruchu i mogą dowiedzieć się, co jest, a co nie jest dozwolone. Personel bezpieczeństwa może również zapobiegać fizycznemu włamaniu się do firmy lub centrum danych, a monitorowane pułapki i systemy kontroli dostępu to inne fizyczne metody, które mogą zapobiec włamaniu się do kogoś.
Ograniczenia systemów wykrywania włamań oznaczają, że wiele organizacji używa również systemu zapobiegania włamaniom (IPS), aby podejmować działania w przypadku podejrzanych działań. Wiele z tych systemów zawiera funkcje systemu wykrywania włamań i zapewnia bardziej wszechstronny system bezpieczeństwa, który jest pomocny w przypadku krytycznego naruszenia zabezpieczeń. Gdy IPS wykryje podejrzany ruch lub naruszenie zasad, podejmuje działanie skonfigurowane w swoich zasadach. Pracownicy zajmujący się bezpieczeństwem informacji lub administratorzy systemu zwykle konfigurują zasady, których używa IPS, aby reagować na każde zdarzenie.