Det bästa sättet att skydda en enskild dator eller ett nätverk är att upptäcka och blockera attacker innan de hinner orsaka skada. Därför kan intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS) vara ett bra komplement till en brandvägg. Fortsätt läsa för att lära dig mer om IDS och IPS, vad de har gemensamt och vad som skiljer dem åt.

Innan vi går in på skillnaderna mellan IDS och IPS ska vi kort presentera de två systemen. IDS står för intrusion detection system, ett system som så tidigt som möjligt upptäcker attacker mot en klient eller ett nätverk. Om IDS upptäcker ovanlig datatrafik i sin analys skickar det en varning till administratören. Det finns två olika typer av IDS, värdbaserade och nätverksbaserade. IPS står för intrusion prevention system och avser ett system som inte bara upptäcker och rapporterar potentiella attacker utan också motverkar dem med aktiva åtgärder. IPS använder också värdbaserade och nätverksbaserade sensorer för att utvärdera systemdata och nätverkspaket.

Vad har IDS och IPS gemensamt?

Det bör redan vara klart att IDS och IPS inte är så olika varandra. Det finns ett antal saker som de två systemen har gemensamt. Vi ska titta på några av dem nedan.

Analys

I många fall är de metoder som de två systemen använder för analys nästan eller exakt desamma. Både IDS och IPS använder sensorer på värden, i nätverket eller båda för att inspektera systemdata och datapaket i nätverket och söka efter hot. De använder fasta parametrar så att de kan upptäcka avvikelser samtidigt som de känner igen ofarliga avvikelser för vad de är. Analysen utförs med hjälp av missbruksdetektering eller avvikelsedetektering. Men detta innebär också att de har potentiella svagheter gemensamt. En av dessa är att när det gäller missbruksdetektering kan okända hot förbises. Och vid avvikelsedetektering rapporteras ofta ofarliga datapaket.

Databas

Både IDS och IPS använder en databas som hjälper till att identifiera hot snabbare och mer exakt. Ju mer omfattande biblioteket är, desto högre blir träfffrekvensen för varje system. Det är därför IDS och IPS inte kan ses som statiska system, utan är faktiskt föränderliga och anpassningsbara system som förbättras med uppdateringar.

Användning av AI

Artificiell intelligens är mycket viktigt för både IDS och IPS. Moderna system förbättrar sin hotdetektering och utökar sina databaser med hjälp av maskininlärning. Detta gör att de bättre kan förstå nya attackmönster, upptäcka dem tidigare och rapportera färre ofarliga paket.

Inställningar

Både IDS och IPS kan anpassas efter behoven i ett nätverk eller system. Rätt konfiguration säkerställer att processerna inte störs och att alla komponenter fungerar smidigt trots övervakningen. Detta är mycket viktigt, eftersom både IDS och IPS skannar och analyserar i realtid.

Automatisering

IDS och IPS fungerar båda automatiskt och autonomt. När de väl har konfigurerats behöver de inte övervakas av någon. De utför sina uppgifter och ger endast feedback i händelse av ett hot.

Hotdetektering och varning

De två systemen har också samma grundläggande funktion, nämligen att de upptäcker hot och omedelbart informerar administratören. Varningen kan komma i form av ett e-postmeddelande, en avisering på smartphone/surfplatta eller ett systemlarm. Därefter kan de ansvariga besluta hur de vill gå vidare.

Protokollfunktion

Både IDS och IPS har en protokollfunktion. Det gör att de inte bara kan rapportera/motverka hot, utan också lägga till dem i sina egna databaser. Det gör dem starkare med tiden och gör det möjligt för dem att identifiera och förbättra svaga punkter.

Kombination med brandväggar

Både IDS och IPS bör ses som komplement till en brandvägg. För att skydda ditt system på bästa sätt mot attacker bör du kombinera flera säkerhetsåtgärder. Om du bara använder ett IDS eller IPS kommer ditt nätverk eller din dator inte att vara tillräckligt skyddat.

Vad skiljer IDS och IPS från varandra?

Som vi har sett ovan har de två systemen mycket gemensamt. Det finns dock också ett antal saker som skiljer dem åt. Nedan förklarar vi några av de viktigaste skillnaderna mellan IDS och IPS.

Svar på hot

Som nämnts ovan övervakar både IDS och IPS ett system och rapporterar och loggar hot. Men medan ett IDS arbete slutar där, går ett IPS längre. IPS är ett aktivt säkerhetssystem som självständigt reagerar på hot. Det kan innebära att anslutningar avbryts eller att datapaket stoppas och kasseras om de uppvisar avvikelser. IDS är däremot ett passivt system som endast övervakar och rapporterar hot.

Positionering

IDS och IPS skiljer sig också åt i sin placering. IDS placeras antingen på en dator eller i utkanten av ett nätverk, där det är enklast att övervaka inkommande och utgående datapaket. IPS placeras däremot bakom brandväggen, där det inte bara kan rapportera hot utan också stoppa dem.

Typer

Båda lösningarna kan vara värdbaserade (HIPS) eller nätverksbaserade (NIPS). Men till skillnad från IDS kan IPS-lösningar också vara WiFi-baserade (WIPS).

Autonomi

IPS fungerar till största delen autonomt och hittar lösningar för olika typer av hot. IDS övervakar också datapaket autonomt, men kan inte agera på egen hand när det upptäcker hot. Om en varning skickas ut är det administratören som initierar en åtgärd.

Konfiguration

IDS fungerar vanligtvis inline och har därför inga negativa effekter på nätverkets prestanda. Det krävs dock fortfarande en del eftertanke när man ställer in konfigurationerna. IDS kan till exempel vidarebefordra ett hot som det har upptäckt direkt till routern eller brandväggen och informera administratören. IPS kan däremot ha negativa effekter på nätverkets prestanda. Det gör det ännu viktigare att konfigurera systemet noggrant. Om det släpper igenom farliga datapaket skyddar det inte längre ditt system. Men om det blockerar ofarlig trafik kan hela nätverket påverkas.

Gå till huvudmeny