IDS står för Intrusion Detection System och IPS för Intrusion Prevention System. Dessa teknologier är i grund och botten ganska lika och analyserar nätverkstrafik i jakt på tecken på oönskad aktivitet. För att upptäcka oönskad aktivitet, tex intrång och skadlig kod kan olika tekniker utnyttjas.
En introduktion till IDS och IPS
I den här artikeln tittar vi närmare på ett antal olika tekniker för detektion, däribland dessa:
- Signaturbaserad detektion
- Anomalibaserad detektion
- Reputation-baserad detektion
Signaturbaserad detektion använder sig av regler/signaturer som tex beskriver hur nätverkstrafiken ser ut när en sårbarhet i en programvara utnyttjas. Anomalibaserad detektion upptäcker avvikelser från det normala i nätverkstrafiken. Reputation-baserad detektion upptäcker nätverkstrafik som går till och från kända ”dåliga” IP-/domänadresser på internet.
Skillnaden mellan IDS och IPS är att IDS är en detekterande och passiv teknologi som kan placeras vid sidan av IT-miljön och analysera en kopia på nätverkstrafiken. IDS stoppar inga angrepp utan larmar bara vid tecken på oönskad/otillåten trafik. IPS placeras vanligtvis i trafikflödet för att kunna blockera nätverkstrafik som bedöms som oönskad/skadlig. IPS:er har oftast IDS-funktionalitet för att möjliggöra larm på misstänkt nätverkstrafik som man inte vågar blockera.
Varför är det vitalt att ha IDS/IPS?
Utan IDS/IPS kan man inte detektera oönskad aktivitet på nätverket. Att inte ha IDS/IPS är jämförbart med att sakna inbrottslarm för sina lokaler. Egentligen ännu värre eftersom en digital angripare lätt kan undgå att bli upptäckt i nätverk och system utan larm och bevakning. Eftersom den största delen av organisationers tillgånger digitalt medför detta en stor risk.
Idag är kostnaden för ett fysiskt inbrott oftast förknippat med ganska begränsade kostnader för att ersätta framförallt hårdvara. Kostnaden för ett digitalt intrång kan bli i princip hur stort som helst beroende på affärsverksamheten och hur länge angriparen kunnat verka oupptäckt på nätverk och i system.
Exempel på följder av ett digitalt intrång kan vara stulna affärshemligheter som forskning, ritningar, kundinformation, personuppgifter, finansiella uppgifter och även direkta konsekvenser som avbrott i produktion och leverans. Detta kan leda till direkta kostnader för utebliven produktion och leverans men även indirekta kostnader som tappade marknadsfördelar, förlorade kunder och bristande varumärkesanseende.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel