• Концепція рівнями безпеки має ключове значення для захисту мережі будь-якого розміру, і для більшості компаній це означає, що необхідно розгортати як системи виявлення вторгнень (IDS) так і системи запобігання вторгнень (IPS). Коли мова заходить про IPS і IDS, питання полягає не в тому, які технології потрібно додати до вашої інфраструктури безпеки, а в тому, що обидві необхідні для забезпечення максимального захисту від шкідливого трафіку. У самому справі, розробники таких систем все частіше поєднують ці дві технології в одному пристрої.
    Переваги IDS
    В основному, IDS пристрою пасивні, вони спостерігають за пакетами даних, що передаються по мережі, моніторять певні порти, порівнюють трафік з певним набором правил і посилають оповіщення, якщо виявляють щось підозріле. IDS може виявити кілька видів шкідливого трафіку, який може пропустити звичайний брандмауер, включаючи мережеві атаки на певні служби, може видати дані з атак на додатки, виявити спроби несанкціонованого доступу і дії шкідливих програм, вірусів, троянів і черв'яків. Більшість продуктів IDS використовують кілька методів виявлення загроз, зазвичай заснованих на певних сигнатурах і детальному аналізі протоколів.
    IDS фіксує події, які зареєстровані датчиками в базі даних, генерує оповіщення та посилає їх адміністратора мережі. Оскільки IDS дає широке уявлення про активності в мережі, воно також може бути використано при виявленні проблем, пов'язаних з політикою безпеки, документуванні існуючих загроз, а також заважають користувачам порушувати політики безпеки.
    Основний недолік IDS - велика кількість помилкових спрацьовувань, деякий допустимий трафік позначається як шкідливий. Необхідна настроювання пристрою для забезпечення максимальної точності правильних спрацьовувань при виявленні загроз з одночасним зведені до мінімуму кількості помилкових спрацьовувань. Такі пристрої повинні регулярно підлаштовуватися до нових загроз виявленим в мережі. Також необхідна підстроювання при зміні структури мережі. Оскільки технології удосконалювалися в останні кілька років, кількість помилкових спрацьовувань зменшується. Тим не менш, повної ліквідації при збереженні суворого контролю, досягти неможливо - навіть на IPS, які деякі вважають наступним кроком в еволюції IDS.
    IPS Переваги
    В основному IPS мають риси хороших IDS, але вони також можуть зупинити небезпечний трафік при вторгненні в мережу. На відміну від IDS, IPS сидять в середині транспортних потоків мережі, активно завадивши нападу. Вони можуть зупинити атаки шляхом відключення мережевого з'єднання або блокування сесії користувача, від якого відбуваються напади, блокуючи доступ до облікових записів користувача, IP-адреси або блокує доступ до хосту, сервісу або з додатком.
    Крім того, IPS може реагувати на загрози, виявлені в двох інших напрямках. Вони можуть переналаштувати інші системи контролю безпеки, такі як брандмауер або маршрутизатор, щоб блокувати атаку. Деякі IPS пристрої можуть навіть застосувати патчі, якщо хост має особливу уразливість. Крім того, деякі IPS можуть видаляти шкідливий вміст пакетів, можливо навіть видалення зараженого вкладення з файлу електронної пошти до пересилання її користувачеві.
    Подвійний захист
    Оскільки IDS і IPS пристрої знаходяться в різних точках мережі, вони можуть і повинні бути використані одночасно. IPS продукти встановлені «по периметру» мережі і дозволяють блокувати атаки негайно, як, наприклад, атаки черв'яків і вірусів, навіть самі нові загрози можуть бути заблоковані. IDS продукти, встановлені всередині брандмауера буде контролювати внутрішню активність, щоб протистояти інсайдерськими загрозам і додадуть наочність у безпеки подій минулого і сьогодення.
    Вибір продукту, який пропонує обидві технології може бути найбільш економічним і ефективним підходом. В одному пристрої ви можете включити IDS з боку мережі і включити IPS з різних джерел. Це практично віртуальні пристрою.