Systemen voor inbraakdetectie en -preventie observeren alle activiteit binnen een netwerk, houden gegevens bij van die activiteit en zoeken naar indringers en aanvallen. Oplossingen voor inbraakdetectie en -preventie kunnen afzonderlijk of samen worden geïmplementeerd, hoewel beide vaak voordeliger zijn omdat zowel detectie als respons belangrijk zijn voor netwerkbeveiliging. In de loop van de tijd zijn inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) samengevoegd tot inbraakdetectie- en -preventiesystemen (IDPS).
IDS
Inbraakdetectiesystemen bewaken het netwerkverkeer en registreren alle activiteiten in systeemlogboeken, die op patronen kunnen worden onderzocht. Een inbraakdetectiesysteem staat bekend om zijn vermogen om netwerkactiviteit te bestuderen en vervolgens ongewoon gedrag te detecteren. Het observeert het netwerk op verschillende verkeerspatronen, inclusief de patronen die kenmerkend zijn voor wormen of virussen, en waarschuwt IT-teams of beheerders voor verdachte activiteiten of aanvallen. IDS kan worden geprogrammeerd om bepaald normaal netwerkgedrag te verwachten en wat typisch gebeurt binnen segmenten van het netwerk; de functie voor het detecteren van afwijkingen markeert ongebruikelijke acties die niet in overeenstemming zijn met de programmering.
IDS ziet hoe een inbraak eruitziet en gebruikt eerdere records, genaamd inbraakhandtekeningen, om te zien of een nieuw patroon ook een inbraak kan zijn. IDS heeft toegang tot deze gegevens via logbestanden die het netwerk bijhoudt. Maar dit is de zwakte van een inbraakdetectiesysteem, het is ook beperkt tot het waarnemen van inbraken die al hebben plaatsgevonden.
IDS-software heeft verschillende niveaus en prijzen; het kan ook als hardware in een computersysteem worden geïnstalleerd.
IPS
Inbraakpreventiesystemen analyseren netwerkverkeer, filteren verzoeken en staan of blokkeren verzoeken dienovereenkomstig toe. IPS is proactiever dan IDS omdat het kan reageren op gedrag. Het kan echter overweldigend zijn voor IT-teams, omdat elke vreemde activiteit, zelfs onschadelijk, het technologiepersoneel zal overbelasten met waarschuwingen. Als een IPS niet intelligent is en de netwerkactiviteit niet goed kan interpreteren, is het voor mensen bijna onmogelijk om het spervuur van systeemwaarschuwingen te doorzoeken.
Inbraakpreventiesystemen kunnen vatbaar zijn voor vals-positieven en -negatieven: een vals-positief blokkeert een legitiem pakket dat gewoon verdacht lijkt, en een vals-negatief mist kwaadaardig verkeer. Machine learning geïmplementeerd in inbraakpreventie kan het systeem helpen nauwkeuriger te worden als de technologie netwerkpatronen beter leert en echte problemen nauwkeuriger detecteert. Meer geavanceerde automatisering kan het aantal valse positieven en negatieven verminderen. Beveiligingsteams moeten de regels meestal verfijnen om te voorkomen dat er valse of onbeduidende waarschuwingen worden gegenereerd.
Inbraakpreventieservices kunnen zowel netwerkgebaseerd als hostgebaseerd zijn. Netwerkgebaseerde IPS zit in de buurt van de firewall en bewaakt het netwerkverkeer. Host-gebaseerde IPS zijn dichter bij een computer of ander eindpunt (in de buurt van de host).
Zowel inbraakdetectie- als -preventiesystemen (IDPS) gebruiken
Zoals eerder vermeld, worden inbraakdetectie en -preventie vaak automatisch op één hoop gegooid, hoewel ze als afzonderlijke oplossingen kunnen worden geïmplementeerd. Samen zijn ze echter effectiever. Het detecteren van mogelijke abnormale activiteiten in het logbestand van een applicatie heeft weinig zin als het systeem geen acties kan ondernemen om een indringer op te sporen en te onderdrukken. En zonder software om al het netwerkverkeer te bewaken, kunnen preventiesystemen kwaadaardige activiteiten niet zo effectief lokaliseren. Hoewel IDPS niet de perfecte oplossing is voor alle netwerkbeveiliging, is het het beste om zowel detectie als preventie in te zetten als u van plan bent een van beide te gebruiken.