O que é detecção de intrusão?
Detecção de intrusões lida com o percepção de tentativas não autorizadas de acessar uma rede de computadores ou sistema físico de computador. Seu objetivo é detectar quaisquer ameaças que possam permitir o acesso a informações não autorizadas, afetar negativamente a integridade dos dados ou resultar em perda de acesso dentro de uma rede. Geralmente é implementado através do uso de um sistema de detecção de intrusão (IDs) que detecta, registra e registra várias informações sobre outras pessoas que se conectam à rede ou acessar um host físico. Esses sistemas podem variar de soluções de software que simplesmente registram informações de tráfego a sistemas físicos que envolvem guardas de segurança, câmeras e sensores de movimento. Os métodos baseados em rede tentam sinalizar o tráfego de rede suspeitos e normalmente usam programas que registram o tráfego e os pacotes que fluem através de uma rede. Métodos baseados em host procuram possíveis intrusões em um sistema físico de computadorTEM e verifique a integridade do arquivo, identifique os rootkits, monitore políticas de segurança locais e analisem logs. Os métodos físicos também lidam com a identificação de problemas de segurança em dispositivos físicos e usam controles físicos, como pessoas, câmeras de segurança, firewalls e sensores de movimento. Em muitos negócios com dados confidenciais e sistemas críticos, uma combinação desses métodos é desejável para a melhor segurança possível.
Os sistemas de detecção de intrusões geralmente não impedem que as intrusões ocorram; Em vez disso, eles simplesmente registram eventos que ocorrem para que outros possam reunir e analisar as informações. Embora isso seja especialmente verdadeiro para métodos de detecção de intrusões baseados em rede e baseados em host, isso pode não ser verdadeiro para alguns métodos físicos, como firewalls e pessoal de segurança. Os firewalls geralmente fornecem a capacidade de bloquear o tráfego suspeito e podem aprender o que é e não é permitido acesso. Pessoal de segurança tambémpode impedir que as pessoas invadam fisicamente uma empresa ou data center, e as armadilhas e os sistemas de controle de acesso monitorados são outros métodos físicos que podem impedir que alguém se divirta.As limitações dos sistemas de detecção de intrusões significam que muitas organizações também usam um sistema de prevenção de intrusões (IPS) para agir quando ocorre uma atividade suspeita. Muitos desses sistemas incluem as funções de um sistema de detecção de intrusão e fornecem um sistema de segurança mais completo que é útil ao responder a violações de segurança é fundamental. Quando o IPS detecta violações suspeitas de tráfego ou políticas, é necessário a ação configurada em suas políticas. Funcionários de segurança da informação ou administradores de sistema geralmente configuram as políticas que os IPs usam para responder a cada evento.