Varje cyberattack innebär unika utmaningar: säkerhetslösningar som passar alla är sällan effektiva. Två särskilda metoder jämförs ibland som alternativa lösningar för att bekämpa hot: Intrusion Detection Systems (IDS) och Intrusion Prevention Systems (IPS).
De två systemen har många likheter och kan vara lika användbara, beroende på företagets eller webbplatsadministratörens kapacitet och specifika behov. Så vad är IDS och IPS och är det ena bättre än det andra?
IDS vs IPS
- Instrusion Detection System (IDS)
IDS skannar inkommande trafik för potentiella hot och cyberattacker. Med hjälp av olika detektionsmetoder (mer om dessa senare) kontrollerar de om det finns någon misstänkt aktivitet som kan hota de nätverk eller enheter som de täcker. Efter att ha upptäckt en misstänkt eller förbjuden handling skickar systemet en rapport till en webbplats eller nätverksadministratör.
- Intrusion Prevention Systems (IPS)
IPS har ett mer proaktivt tillvägagångssätt och försöker blockera inkommande trafik om de upptäcker ett hot. Denna process bygger på samma detektionsmekanismer som IDS, men stöder dem med proaktiva förebyggande åtgärder.
Hur fungerar intrångsdetekteringssystem?
En IDS är i princip en utkiksplats som upptäcker den inkommande fienden och varnar sina överordnade. Utkiken i sig är bara till för att söka efter hot, inte för att neutralisera dem. Det är ett system som är utformat för att arbeta tillsammans med mänskliga administratörer, som sedan kan reagera effektivt på varje unikt hot. De flesta IDS faller in i dessa två kategorier:
- Network Intrusion Detection System (NIDS): Ett NIDS övervakar nätverkstrafiken för potentiella hot, utan att fokusera på en enhet. Detta är det föredragna systemet för administratörer som driver ett stort ekosystem av ansluten maskinvara eller program; med en NIDS kan de kasta ut ett bredare nät.
- Host Intrusion Detection System (HIDS): Denna metod är mycket mer specifik än NIDS. Till skillnad från sin motsvarighet fokuserar ett HIDS-system endast på en enda ”värd”, en enhet som en dator eller en server. Förutom att övervaka inkommande trafik som hårdvaran tar emot skannar den även programvaran på enheten för att upptäcka ovanlig aktivitet.
Det är viktigt att förstå att dessa system inte utesluter varandra. Medan NIDS kan erbjuda stora säkerhetsförbättringar för hela nätverket, ger HIDS ett enhetsspecifikt skydd. Tillsammans kan dessa två tillvägagångssätt erbjuda utmärkta verktyg för att förbättra säkerheten på alla nivåer.
Detekteringsmetoder
Det finns två detekteringsstrategier som främst används av IDS. Båda har sina egna för- och nackdelar, och deras användbarhet beror till stor del på sammanhanget.
- Anomalibaserade system arbetar utifrån en förutbestämd förståelse av ”icke misstänkt” nätverksaktivitet. Detta innebär att administratörer under programvaruinstallationen definierar reglerna för ”normal” aktivitet, vilket gör att systemet kan ”lära sig” vad som är normalt. När ett anomalibaserat system har definierat vad som skulle betraktas som ”normal” användartrafik kan det jämföra beteenden och upptäcka när de blir onormala.
- Signaturbaserade system bygger på en förinställd databas med kända hot och de beteenden som är förknippade med dem. Ett signaturbaserat IDS skannar varje del av inkommande trafik och jämför den med sin ”svarta lista”. Den listan kan innehålla allt från misstänkta datapaket i samband med en DDOS-attack till ämnesrader i e-postmeddelanden som tidigare kopplats till skadlig kod.
Båda systemen har sina för- och nackdelar. Anomalibaserad detektering är mycket mer benägen att förväxla icke-skadligt beteende med ett hot, eftersom allt som avviker från dess uppfattning om vad som är ”normalt” kommer att slå larm. Det är naturligtvis inte ett så stort problem om du använder ett IDS, eftersom det helt enkelt meddelar en människa i stället för att blockera trafiken helt och hållet, vilket ett IPS skulle göra.
Signaturbaserade system saknar den smidighet och de möjligheter till maskininlärning som ett anomalibaserat IDS drar nytta av. Alla databaser över hot är ändliga, och nya angreppsmönster dyker upp kontinuerligt. Om listan inte uppdateras kommer systemet inte att kunna upptäcka hotet.
Så när de väljer den bästa detektionsmetoden för sitt IDS bör företag som driver trafikintensiva webbplatser luta sig mot det anomalibaserade alternativet.
Hur fungerar Intrusion Prevention Systems?
Det enklaste sättet att förstå ett IPS är att se det som ett IDS med en extra (och potentiellt omvälvande) funktion: aktiv förebyggande verksamhet.
När det gäller likheter kan de flesta IPS klassificeras enligt samma linjer som IDS i nätverksövergripande och värdspecifika. Dessutom upptäcker en IPS hot på ungefär samma sätt som en IDS, med hjälp av antingen en svart lista med signaturer eller en anomalibaserad metod.
Den viktigaste skillnaden mellan de två systemen blir tydlig när en IPS väl har upptäckt ett potentiellt hot. Istället för att meddela en mänsklig administratör startar den omedelbart en förebyggande process och blockerar och begränsar åtgärderna hos den som skickar den misstänkta trafiken.
Avhängigt av programvaran kan en IPS avvisa det misstänkta datapaketet eller aktivera nätverkets brandvägg. I drastiska fall kan den bryta anslutningen helt och hållet och göra webbplatsen eller programmet otillgängligt för den som den anser vara ett hot.
Skillnader mellan IDS och IPS
Omedelbart kan IPS tyckas vara mycket mer effektivt än IDS. Varför skulle man bara vilja upptäcka inkommande cyberhot när man automatiskt kan förhindra dem?
Ett problem med IPS är falska positiva resultat. Detta händer inte ofta, men när det händer reagerar systemet inte med samma nyansering som en mänsklig administratör skulle göra. När det väl har upptäckts kommer det uppfattade hotet att blockeras omedelbart, även om det har skett ett misstag. Detta kan resultera i att webbplatsfunktioner inaktiveras eller tas bort för icke skadliga användare utan någon mänsklig övervakning.
En IDS blockerar inte en attack eller ett misstänkt paket, utan känner i stället igen det och varnar webbplatsadministratörer. Även om det här systemet kanske inte är det snabbaste, gör det det möjligt för mänskliga administratörer att fatta det slutgiltiga beslutet om hur ett hot ska förhindras. Detta kan vara en bättre strategi än att förlita sig på ett felfritt automatiserat system som enda skiljedomare av webbplatstrafiken.
För att vara rättvis, förbättras IPS-mjukvara och antalet falska positiva resultat minskar. Så systemet kan vara en bra lösning för webbplatser som är beroende av en stor volym ostörd trafik.
Kontexten är allt
Och hur frestande det än är att dra absoluta slutsatser är kontexten den avgörande faktorn när det gäller att välja den ena lösningen framför den andra.
Varje företag och användare kommer att ha sina egna säkerhetsbehov och möta olika hot och utmaningar. En IPS kan vara lämplig för ett företags interna nätverk, men för en stor webbplats med flera servrar kan IDS vara ett bättre alternativ.
Avväg fördelarna med varje system och se hur de kan spela en roll för att uppfylla dina egna säkerhetsbehov. En skräddarsydd lösning är alltid den mest effektiva.
För fler insikter om cybersäkerhet kan du prenumerera på vårt månatliga bloggnyhetsbrev nedan!