Diferença entre IDS, IPS, antivírus
Diferença entre IDS, IPS, antivírus
Fundamentos
Um IDS é um controle de detetive técnico.
Um IPS é um controle técnico preventivo.
Um programa antivírus é um controle técnico preventivo.
Associar esses três tipos de controle a um IDS, IPS e antivírus o ajudará a lembrar o conceito básico do exame.
Controle preventivo : abrange controles administrativos, técnicos e físicos para impedir ameaças e riscos a um sistema antes que ocorram. Um IPS e um programa antivírus são controles preventivos porque evitam o acesso não autorizado ou modificação da rede ou host.
O conceito de controle preventivo é que eles devem impedir que uma ameaça explore um risco, antes que qualquer dano seja causado.
Controle de detetive : um controle de segurança usado após a ocorrência de um incidente. Não tem por objetivo prevenir ataques, mas sim investigar incidentes depois que eles ocorreram. Exemplos do mundo real de controles de detetive incluem CCTV, logs de firewall, rotação de tarefas, livros de registro de hóspedes e detetives da polícia reais.
IDS e IPS
Um IDS e IPS podem ser softwares ou dispositivos físicos.
Ambos têm um banco de dados de assinaturas maliciosas conhecidas que são continuamente atualizadas. Um IPS / IDS compara essas assinaturas atualizadas com as do tráfego que entra na rede.
Este é um exemplo de um IPS físico. Este dispositivo em particular é feito pela IBM - um GX4004 IPS.
IBM Proventia Network IPS GX4004
Um IPS usa um banco de dados baseado em assinatura para evitar que ataques maliciosos entrem na rede. Se um ataque malicioso real passou pelo firewall, por exemplo, um IPS pode ser a última linha de defesa antes de atingir a rede interna da organização.
No gráfico abaixo, o IPS é integrado ao firewall e está em linha com o tráfego de entrada. Nesse caso, o firewall é um firewall Checkpoint e o IPS é um software integrado ao firewall. De qualquer forma, o tráfego atingirá primeiro o firewall e, em seguida, será transmitido ao IPS para inspeção posterior.
Quando um IPS já está embutido no firewall e só precisa ser ativado por meio de uma chave de licença, esse é um tipo de IPS de software. Não é um dispositivo de hardware real.
Por outro lado, um IDS não impede nada. Ele é usado apenas para coletar logs que são examinados posteriormente. A palavra-chave sendo "mais tarde", como em, depois que o tráfego atingiu o IDS e foi movido para a rede interna.
Dica de exame: um IPS é embutido, o que significa que fica diretamente na frente ou atrás de um firewall ou roteador e o tráfego passa por ele. Na imagem acima, um IDS fica ao lado da rede coletando logs. Não há tráfego que passe por ele.
Então, por que obter um IDS em vez de um IPS? Por que não queremos evitar ataques o tempo todo?
Depende das necessidades e políticas de segurança da empresa. Em uma pequena organização sem muito tráfego de rede, um IDS pode ser configurado para enviar alertas ao administrador de segurança no caso de um ataque que esteja acontecendo. A organização gostaria apenas de ser notificada de quaisquer incidentes, mas não tem realmente o desejo de fazer qualquer tipo de prevenção.
Por que não ter um dispositivo de prevenção em vez de apenas um dispositivo de detecção?
Dispositivos IPS são mais caros
Um IPS mal configurado pode potencialmente bloquear ou impedir o tráfego legítimo para a rede, o que pode causar interrupções na organização.
Por exemplo, um novo IPS pode começar a bloquear 443 tráfego
Uma empresa pode decidir que prefere permitir a entrada de tudo, em vez de correr o risco de um IPS bloquear algo legítimo e impactar seus usuários
Antivírus
Um programa antivírus é completamente diferente de um IDS ou IPS.
Programas antivírus não verificam redes, porque programas antivírus não verificam pacotes, eles verificam arquivos ou objetos.
Um programa antivírus também é um PROGRAMA. Não é uma peça de hardware como um IPS ou IDS. É software, é um aplicativo. Nunca ouvi falar de um programa antivírus baseado em hardware. Deixe-me saber se houver um!
Programas antivírus verificam ARQUIVOS.
Dispositivos IDS / IPS e software de varredura de rede PACOTES, tráfego de rede.
Eles não ficam em linha ou fora do lado de uma rede, eles são instalados em um dispositivo como qualquer outro software.
IDS e IPS são geralmente dispositivos de rede que inspecionam pacotes de rede.
Enquanto um programa antivírus é um pedaço de software que inspeciona arquivos maliciosos em um dispositivo host.
Na maior parte, ambos usam o conceito de bancos de dados baseados em assinaturas.
Um IDS / IPS não é realmente comparável a um programa antivírus, portanto, o título desta postagem do blog é um pouco enganador. Eles servem para desempenhar diferentes funções.
Além disso, pense em um IPS / IDS como uma proteção de perímetro de rede.
Enquanto um programa antivírus é para endpoint ou proteção de host.
Obrigado pela leitura.
Comentários
Postar um comentário