Ce este detectarea intruziunilor?

Detectarea intruziunilor se ocupă cu observarea încercărilor neautorizate de a accesa o rețea de computere sau un sistem de computer fizic. Scopul său este de a detecta orice amenințări care ar putea permite accesul la informații neautorizate, ar putea afecta negativ integritatea datelor sau ar putea duce la pierderea accesului în cadrul unei rețele. De obicei, este implementat prin utilizarea unui sistem de detectare a intruziunilor (IDS) care detectează, înregistrează și înregistrează diverse informații despre alte persoane care se conectează la rețea sau care accesează o gazdă fizică. Aceste sisteme pot varia de la soluții software care pur și simplu înregistrează informații despre trafic la sisteme fizice care implică agenți de securitate, camere și senzori de mișcare.

Există trei tipuri principale de detectare a intruziunilor, inclusiv metode bazate pe rețea, bazate pe gazdă și metode fizice. Metodele bazate pe rețea încearcă să semnalizeze traficul suspect de rețea și, de obicei, folosesc programe care înregistrează traficul și pachetele care circulă printr-o rețea. Metodele bazate pe gazdă caută posibile intruziuni într-un sistem computerizat fizic și verifică integritatea fișierelor, identifică rootkit-urile, monitorizează politicile locale de securitate și analizează jurnalele. Metodele fizice se ocupă, de asemenea, de identificarea problemelor de securitate pe dispozitivele fizice și utilizează controale fizice, cum ar fi persoane, camere de securitate, firewall-uri și senzori de mișcare. În multe afaceri cu date confidențiale și sisteme critice, o combinație a acestor metode este de dorit pentru cea mai bună securitate posibilă.

Sistemele de detectare a intruziunilor nu împiedică, de obicei, producerea intruziunilor; în schimb, pur și simplu înregistrează evenimentele care au loc, astfel încât alții să poată aduna și analiza informațiile. Deși acest lucru este valabil mai ales pentru metodele de detectare a intruziunilor bazate pe rețea și pe gazdă, este posibil să nu fie valabil pentru unele metode fizice, cum ar fi firewall-urile și personalul de securitate. Firewall-urile oferă adesea capacitatea de a bloca traficul suspect și pot afla ce este și ce nu este permis accesul. De asemenea, personalul de securitate poate împiedica oamenii să pătrundă fizic într-o companie sau într-un centru de date, iar capcanele monitorizate și sistemele de control al accesului sunt alte metode fizice care pot împiedica pe cineva să pătrundă.

Limitările sistemelor de detectare a intruziunilor înseamnă că multe organizații folosesc, de asemenea, un sistem de prevenire a intruziunilor (IPS) pentru a lua măsuri atunci când apare o activitate suspectă. Multe dintre aceste sisteme includ funcțiile unui sistem de detectare a intruziunilor și oferă un sistem de securitate mai complet care este util atunci când răspunsul la breșele de securitate este critic. Când IPS detectează trafic suspect sau încălcări ale politicii, ia măsurile configurate în politicile sale. Angajații de securitate a informațiilor sau administratorii de sistem configurează de obicei politicile pe care IPS le folosește pentru a răspunde la fiecare eveniment.