Inhoud
Host Intrusion Detection Systems en Network Intrusion Detection Systems, of HID's en NID's (respectievelijk de originele acroniemen, in het Engels), zijn geautomatiseerde netwerkbeveiligingssystemen die worden gebruikt om te beschermen tegen virussen, spyware, malware en andere kwaadaardige bestandstypen. Het verschil is dat HID's (Host Intrusion Detection Systems) alleen op bepaalde kruispunten worden geïnstalleerd, zoals servers en routers, terwijl NID's (Intrusion Detection Network Systems) op alle hostmachines zijn geïnstalleerd. .
objectief
Door de snelle toename van aanvallen op netwerken zijn HID's en NID's gemeengoed geworden. Hoewel firewalls en malwareprogramma's individuele computers goed van dienst kunnen zijn, missen ze de intelligentie om een bedrijfsnetwerk te verdedigen. HID's en NID's verzamelen bijvoorbeeld informatie van een netwerk en vergelijken deze met vooraf bepaalde patronen om aanvallen en kwetsbaarheden te ontdekken, naast het creëren van databases met normaal gedrag.
Hoofdfuncties
HID's onderzoeken specifieke acties op basis van hosts, zoals de applicaties die worden gebruikt, de bestanden die worden geopend en de informatie die zich in de kernellogboeken bevindt. NID's analyseren de informatiestroom tussen computers, dat wil zeggen netwerkverkeer. In wezen 'snuiven' ze verdacht gedrag op het netwerk op. Op deze manier kunnen NID's een hacker detecteren voordat er een aanval kan plaatsvinden, terwijl HID's pas problemen kunnen detecteren nadat de hacker het systeem al heeft doorbroken.
Voordelen van HID's
Hoewel HID's in eerste instantie misschien een slechte oplossing lijken, hebben ze verschillende voordelen. Ze kunnen bijvoorbeeld voorkomen dat aanvallen schade veroorzaken. Als een kwaadaardig bestand probeert een bestand te herschrijven, kan HID de rechten beperken en het in quarantaine plaatsen. HID's kunnen notebooks beschermen wanneer ze uit een netwerk worden verwijderd en naar het veld worden gebracht. Uiteindelijk zijn HID's een "laatste verdedigingslinie", die wordt gebruikt om aanvallen af te weren die niet door de NID worden gedetecteerd.
Voordelen van NID's
Waar NID's uitblinken, is hun vermogen om honderden computersystemen vanaf een netwerklocatie te beschermen. Dit maakt een NID minder kwetsbaar - om nog maar te zwijgen van het gemakkelijker te implementeren. NID's bieden ook een bredere analyse van een bedrijfsnetwerk door middel van scans en exploits. Het belangrijkste is dat NID's beheerders in staat stellen om niet-geautomatiseerde apparaten te beschermen, zoals firewalls, printservers, VPN-hubs en routers. Andere voordelen zijn flexibiliteit met verschillende apparaten en besturingssystemen en bescherming tegen overstromingen van bandbreedte en DoS-aanvallen.
Ideale oplossing
Idealiter heeft een bedrijfsnetwerk een HID en een NID. De eerste beschermt lokale machines en fungeert als een laatste verdedigingslinie, terwijl de NID de beveiliging van het netwerk op dit moment handhaaft. Beiden zijn in staat om een grotere beveiliging te bieden dan welk eenvoudig firewall- of antivirusprogramma dan ook, maar elk mist bepaalde mogelijkheden die de ander heeft. De vereniging van de twee is dus de enige manier om een echt solide verdedigingsnetwerk te creëren.