Vad är intrångsdetektering?
intrångsdetektering handlar om att märka obehöriga försök att komma åt ett datornätverk eller det fysiska datorsystemet. Syftet är att upptäcka alla hot som kan möjliggöra åtkomst till obehörig information, negativt påverka dataintegritet eller resultera i en förlust av åtkomst i ett nätverk. Det implementeras vanligtvis genom användning av ett intrångsdetekteringssystem (IDS) som upptäcker, poster och loggar olika information om andra som ansluter till nätverket eller åtkomst till en fysisk värd. Dessa system kan sträcka sig från mjukvarulösningar som helt enkelt loggar trafikinformation till fysiska system som involverar säkerhetsvakter, kameror och rörelsessensorer.
Det finns tre primära typer av intrångsdetektering, inklusive nätverksbaserade, värdbaserade och fysiska metoder. Nätverksbaserade metoder försöker flagga misstänkt nätverkstrafik och använder vanligtvis program som registrerar trafiken och paketen som flyter genom ett nätverk. Värdbaserade metoder letar efter möjliga intrång på en fysisk datorsysTEM och kontrollera om filintegritet, identifiera rootkits, övervaka lokal säkerhetspolicy och analysera loggar. Fysiska metoder handlar också om att identifiera säkerhetsfrågor på fysiska enheter och använder fysiska kontroller, såsom människor, säkerhetskameror, brandväggar och rörelsessensorer. I många affärer med konfidentiella data och kritiska system är en kombination av dessa metoder önskvärd för bästa möjliga säkerhet.
intrångsdetekteringssystem förhindrar vanligtvis inte intrång från inträffar; Istället loggar de helt enkelt händelser som inträffar så att andra kan samla in och analysera informationen. Även om detta är särskilt sant för nätverksbaserade och värdbaserade intrångsdetekteringsmetoder, kan detta inte vara sant för vissa fysiska metoder, till exempel brandväggar och säkerhetspersonal. Brandväggar ger ofta förmågan att blockera misstänkt trafik och kan lära sig vad som är och inte är tillåtet åtkomst. Säkerhetspersonal ocksåKan förhindra att människor fysiskt bryter in i ett företag eller datacenter, och övervakade fällor och åtkomstkontrollsystem är andra fysiska metoder som kan förhindra att någon bryts in.
Begränsningarna av intrångsdetekteringssystem innebär att många organisationer också använder ett intrångsförebyggande system (IPS) för att vidta åtgärder när misstänkt aktivitet inträffar. Många av dessa system inkluderar funktionerna i ett intrångsdetekteringssystem och ger ett mer avrundat säkerhetssystem som är till hjälp när man svarar på säkerhetsöverträdelser är kritiskt. När IPS upptäcker misstänksam trafik- eller policyöverträdelser vidtar den de åtgärder som är konfigurerade i sin policy. Informationssäkerhetsanställda eller systemadministratörer konfigurerar vanligtvis den policy som IPS använder för att svara på varje händelse.