Descrizione della differenza tra HID e NID
I sistemi di rilevamento delle intrusioni host e i sistemi di rilevamento delle intrusioni di rete, o HID e NID, sono sistemi di sicurezza della rete di computer utilizzati per proteggere da virus, spyware, malware e altri tipi di file dannosi. La differenza è che gli HID vengono installati solo su determinati punti di intersezione, come server e router, mentre i NID vengono installati su ogni macchina host.
Scopo
A causa del rapido aumento degli attacchi alla rete, HID e NID sono diventati comuni. Sebbene i firewall e le suite anti-malware vadano bene per i singoli computer, mancano dell'intelligenza necessaria per difendere una rete aziendale. Ad esempio, HID e NID raccolgono informazioni da una rete e confrontano tali informazioni con schemi predefiniti per scoprire attacchi e vulnerabilità. Creano anche database di comportamento normale.
Funzioni principali
Gli HID esaminano specifiche azioni basate sull'host, come le applicazioni utilizzate, i file a cui si accede e le informazioni che risiedono nei registri del kernel. I NID analizzano il flusso di informazioni tra computer, ovvero il traffico di rete. Essenzialmente "annusano" la rete per comportamenti sospetti. Pertanto, i NID possono rilevare un hacker prima che sia in grado di effettuare un'intrusione non autorizzata, mentre gli HID non sapranno che c'è qualcosa che non va finché l'hacker non ha già violato il sistema.
Vantaggi HIDs
Sebbene gli HID possano sembrare una soluzione scadente all'inizio, hanno diversi vantaggi. Per uno, possono impedire agli attacchi di provocare danni. Ad esempio, se un file dannoso tenta di riscrivere un file, l'HID può tagliare i suoi privilegi e metterlo in quarantena. Gli HID possono proteggere i laptop quando vengono rimossi da una rete e sul campo. In definitiva, gli HID sono uno strumento di "ultima linea di difesa" utilizzato per respingere gli attacchi mancati dal NID.
Vantaggi NID
Dove i NID eccellono è la loro capacità di proteggere centinaia di sistemi informatici da un'unica posizione di rete. Ciò rende un NID meno costoso, per non parlare di più facile da implementare. I NID forniscono anche un esame più ampio di una rete aziendale tramite scansioni e sonde. Ancora più importante, i NID consentono agli amministratori di proteggere i dispositivi non informatici, come firewall, server di stampa, concentratori VPN e router. Ulteriori vantaggi includono la flessibilità con più sistemi operativi e dispositivi e la protezione da inondazioni di larghezza di banda e attacchi DoS.
Soluzione ottimale
Idealmente, una rete aziendale dovrebbe includere sia un HID che un NID. Il primo proteggerà le macchine locali e fungerà da ultima linea di difesa, mentre il NID manterrà la rete reale sicura e protetta. Entrambi sono in grado di fornire maggiore sicurezza rispetto a qualsiasi singolo firewall o suite antivirus, ma ciascuno manca di determinate funzionalità contenute nell'altro. Quindi, combinare i due è l'unico modo per creare una rete difensiva veramente robusta.