Tanto o IDS quanto o IPS fazem parte da infraestrutura de rede. A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle.
Um Intrusion Detection Systems (IDS) analisa o tráfego de rede em busca de assinaturas que correspondam a ataques cibernéticos conhecidos. O IDS não altera os pacotes de rede de forma alguma. Já o Intrusion Prevention Systems (IPS) também analisa os pacotes, mas pode impedir que este seja entregue, da mesma forma que um firewall impede o tráfego por endereço IP, com base no tipo de ataque que detecta mitigando a ação de uma ameça.
O IDS requer que um ser humano ou outro sistema analise os resultados e determine quais ações tomar a seguir, o que pode ser um trabalho muito massante, dependendo da quantidade de tráfego de rede gerado a cada dia. O IDS é uma ferramenta de análise forense post-mortem melhor para o CSIRT usar como parte de suas investigações de incidentes de segurança.
O objetivo do IPS, por outro lado, é capturar pacotes perigosos e descartá-los antes que atinjam seu destino. É mais passivo do que um IDS, simplesmente exigindo que o banco de dados seja atualizado regularmente com novos dados de ameaças. Mantenha-os atualizados e esteja preparado para fazer ajustes manuais quando um novo ataque acontecer e / ou a assinatura do ataque não estiver no banco de dados.
Para aprofundamento do tema, segue um vídeo bem interessante feito pela SegInfo Brasil o qual trás mais detalhes e comparações entre essas ferramentas. O vídeo é um complemento ao curso Segurança em Redes de Computadores ideal para quem quer ingressar na área de segurança ou que já trabalha com Redes de Computadores e quer colocar uma segurança a mais em seu ambiente.
Nenhum comentário:
Postar um comentário