Video: Introduksjon til Claroty 2024
Nettverksadministratorer bør implementere inntrengingsdeteksjonssystemer (IDS) og inntrengningsforebyggende systemer (IPS) for å gi en nettverksavhengig sikkerhetsstrategi. IDS og IPS tilbyr begge en lignende serie med alternativer. Faktisk kan du tenke på IPS som en forlengelse av IDS fordi et IPS-system kobler aktivt enheter eller tilkoblinger som anses for å brukes til inntrenging.
IDS-enheter kan være nettverksbaserte enheter, kjører som apparater eller separate servere som kjører programvare, som utfører IDS-rollen, men de kan også installeres på klient- eller nettverksdatamaskiner. Den senere er ofte referert til som vertsbasert inntrengingsdeteksjonssystem (HIDS).
Disse enhetene kan ligge inne i nettverket ditt, bak brannmuren din, oppdage abnormaliteter der, og / eller de kan plasseres utenfor din brannmur. Når de er utenfor brannmuren, er de vanligvis målrettet mot de samme angrepene som kjører mot brannmuren, og derved oppfordrer deg til at angrep blir kjørt mot brannmuren din.
Cisco tilbyr flere alternativer for IDS og IPS-systemer, og tilbyr disse som frittstående systemer eller som tillegg for dine eksisterende sikkerhetsprodukter. Følgende er to slike alternativer:
IDS og IPS har flere metoder for å jobbe med deteksjon. I likhet med virus på nettverket har inntrengninger og angrep funksjoner som er registrert som signatur eller oppførsel. Så når IPS-systemet ser denne typen data eller oppførsel, kan IPS-systemet svinge til handling.
Mistenkelig oppførsel kan også utløse disse systemene. Denne oppførselen kan inkludere et fjernsystem som forsøker å pinge alle adresser på ditt undernett i sekvensiell rekkefølge, og annen aktivitet som anses å være unormal. Når IPS-systemet ser denne aktiviteten, kan IPS konfigureres til svarteliste eller blokkere kildeenheten, enten på ubestemt tid eller for en tidsperiode.
Den andre måten disse systemene kan identifisere mistenkelig trafikk på nettverket ditt, er å få dem til å løpe i en læringsmodus i en periode. I løpet av uker kan de klassifisere vanlige trafikkmønstre på nettverket ditt og deretter begrense trafikken til de etablerte mønstrene.Hvis du introduserer ny programvare til nettverket ditt, må du kanskje manuelt legge til rette regler eller kjøre en læringsperiode og deretter sette systemet tilbake i forebyggingsmodus.Denne nødvendigheten er til og med sant for de vertsbaserte systemene fordi de oppdaterer reglene fra administrasjons- eller politiserveren som kjører på nettverket.
Disse systemene bidrar til å forhindre spredningen av
Day Zero attacks, som er nye virus eller nettverksangrep som er forskjellig fra alle tidligere nettverksinntrengninger. Fordi disse Day Zero-angrepene er nye, har du ikke en bestemt signatur for angrepet. men angrepet må fortsatt utføre de samme mistenkelige oppføringene, som kan oppdages og blokkeres.
