Выбор системы обнаружения вторжений
Индустриальные стандарты предусматривают использование как NIDS, так и HIDS. Если вы не можете себе позволить обе системы, для защиты сети сначала примените NIDS, а затем HIDS. Система NIDS обеспечит большую детализацию сетевого трафика, так как HIDS предоставляет информацию об определенном компьютере или сервере, а информация о трафике в этой системе не предусмотрена. Многие системы NIDS блокируют атаку и предотвращают несанкционированный доступ хакера.
Несмотря на то, что эти методы различны по своей эффективности, они выполняются в реальном времени и, следовательно, потенциально ограничивают ущерб, который может причинить атака. Так как системы HIDS основаны на анализе файлов журналов, они предоставляют информацию об атаке только после ее проявления. Гибридные IDS позволяют реагировать в реальном времени, однако обеспечивают защиту только определенного узла. Наконец, системы NIDS часто взаимодействуют с другими системами периметровой защиты посредством динамического обновления политик для обработки угроз в реальном времени.
Необходимо, чтобы выбранная система IDS удовлетворяла как настоящим, так и будущим требованиям. Важным аспектом является степень конфигурирования, так как настройка системы позволяет адаптировать IDS к вашей уникальной среде и повысить смысловое значение генерируемых данных. Так как IDS работает в качестве сигнализации проникновения, необходимо обеспечить соответствующее реагирование в случае тревоги. Для этого разработайте политику реагирования, заключающуюся в создании и всестороннем тестировании процедур на случай проявления вредоносной атаки.
Для обеспечения простоты IDS следует приобретать систему на отдельном аппаратном оборудовании, а не программный компонент, применение которого может занять больше времени. Можно создать систему IDS посредством комбинирования персональных и корпоративных сетевых экранов с журналами, их автоматизированными анализаторами и устройствами для прослушивания пакетов. В малой сети часто оказывается более разумным применение самостоятельно сконструированных устройств, если есть опыт собственных разработок.