Vad är intrångsdetektering?
Intrusionsdetektering handlar om att märka obehöriga försök att komma åt ett datornätverk eller fysiskt datorsystem. Syftet är att upptäcka eventuella hot som kan möjliggöra åtkomst till obehörig information, negativt påverka dataintegriteten eller resultera i förlust av åtkomst i ett nätverk. Det implementeras vanligtvis genom användning av ett intrusningsdetekteringssystem (IDS) som detekterar, registrerar och loggar olika information om andra som ansluter till nätverket eller åtkomst till en fysisk värd. Dessa system kan variera från mjukvarulösningar som helt enkelt loggar trafikinformation till fysiska system som involverar säkerhetsvakter, kameror och rörelsessensorer.
Det finns tre primära typer av intrångsdetektering, inklusive nätverksbaserade, värdbaserade och fysiska metoder. Nätverksbaserade metoder försöker flagga misstänkt nätverkstrafik och använder vanligtvis program som registrerar trafiken och paketen som flödar genom ett nätverk. Värdbaserade metoder letar efter möjliga intrång i ett fysiskt datorsystem och ser efter filintegritet, identifierar rootkits, övervakar lokal säkerhetspolicy och analyserar loggar. Fysiska metoder hanterar också identifiering av säkerhetsproblem på fysiska enheter och använder fysiska kontroller, till exempel människor, säkerhetskameror, brandväggar och rörelsessensorer. I många affärer med konfidentiella data och kritiska system är en kombination av dessa metoder önskvärd för bästa möjliga säkerhet.
System för intrångsdetektering förhindrar vanligtvis inte intrång. istället loggar de helt enkelt händelser som inträffar så att andra kan samla in och analysera informationen. Även om detta är särskilt sant för nätverksbaserade och värdbaserade metoder för upptäckt av intrång, är detta kanske inte sant för vissa fysiska metoder, till exempel brandväggar och säkerhetspersonal. Brandväggar ger ofta möjlighet att blockera misstänkt trafik och kan lära sig vad som är och inte tillåtet åtkomst. Säkerhetspersonal kan också förhindra att människor fysiskt bryter in i ett företag eller ett datacenter, och övervakade fällor och åtkomstkontrollsystem är andra fysiska metoder som kan förhindra att någon bryter in.
Begränsningarna för intrångsdetekteringssystem innebär att många organisationer också använder ett IPS-system för att förhindra intrång när misstänkt aktivitet inträffar. Många av dessa system inkluderar funktioner för ett intrångsdetekteringssystem och tillhandahåller ett mer avrundat säkerhetssystem som är användbart när man svarar på säkerhetsbrott är avgörande. När IPS upptäcker misstänkta trafik- eller policyöverträdelser vidtar den åtgärden som är konfigurerad i sina policyer. Informationssäkerhetsanställda eller systemadministratörer konfigurerar vanligtvis de policyer som IPS använder för att svara på varje händelse.