I sistemi di rilevamento delle intrusioni dell'host e i sistemi di rilevamento delle intrusioni di rete, o HID e NID, sono sistemi di sicurezza della rete di computer utilizzati per proteggere da virus, spyware, malware e altri tipi di file dannosi. La differenza è che gli HID sono installati solo su determinati punti di intersezione, come server e router, mentre i NID sono installati su ogni macchina host.

Scopo

A causa del rapido aumento degli attacchi di rete, HID e NID sono diventati all'ordine del giorno. Mentre i firewall e le suite anti-malware vanno bene per i singoli computer, mancano delle informazioni necessarie per difendere una rete aziendale. Ad esempio, HID e NID raccolgono informazioni da una rete e confrontano tali informazioni con schemi predefiniti per scoprire attacchi e vulnerabilità. Creano anche database di comportamento normale.

Funzioni principali

Gli HID esaminano azioni specifiche basate su host, come ad esempio quali applicazioni vengono utilizzate, a quali file si accede e quali informazioni risiedono nei log del kernel. I NID analizzano il flusso di informazioni tra computer, ovvero il traffico di rete. Sostanzialmente "annusano" la rete per comportamenti sospetti. Pertanto, i NID possono rilevare un hacker prima che sia in grado di fare un'intrusione non autorizzata, mentre gli HID non sapranno nulla di sbagliato fino a quando l'hacker non avrà già violato il sistema.

Vantaggi di HIDs

Sebbene all'inizio gli HID possano sembrare una soluzione scadente, presentano diversi vantaggi. Per uno, possono impedire agli attacchi di provocare danni. Ad esempio, se un file dannoso tenta di riscrivere un file, l'HID può tagliare i suoi privilegi e metterlo in quarantena. Gli HID possono proteggere i laptop quando vengono tolti da una rete e sul campo. In definitiva, gli HID sono uno strumento di "ultima linea di difesa" utilizzato per scongiurare gli attacchi persi dal NID.

Vantaggi dei NID

Dove NID eccellono è la loro capacità di proteggere centinaia di sistemi informatici da un'unica posizione di rete. Ciò rende un NID meno costoso, per non parlare della facilità di implementazione. I NID forniscono anche un esame più ampio di una rete aziendale tramite scansioni e sonde. Ancora più importante, i NID consentono agli amministratori di proteggere i dispositivi non informatici, quali firewall, server di stampa, concentratori VPN e router. Ulteriori vantaggi includono la flessibilità con più sistemi operativi e dispositivi e la protezione contro inondazioni della larghezza di banda e attacchi DoS.

Soluzione ottimale

Idealmente, una rete aziendale dovrebbe presentare sia un HID che un NID. Il primo proteggerà le macchine locali e fungerà da ultima linea di difesa, mentre il NID manterrà la rete effettiva sicura e protetta. Entrambi sono in grado di fornire una maggiore sicurezza rispetto a qualsiasi singolo firewall o suite antivirus, ma ciascuno manca di alcune funzionalità che l'altro contiene. Pertanto, combinare i due è l'unico modo per creare una rete difensiva veramente solida.