Monitor for and prevent malicious activity and breaches.
InsightIDR Product入侵检测和防御系统(IDPS)是一种网络监控策略,它既被动地监控流量,又在可疑或恶意行为被标记后主动阻止.
IDPS也可以被描述为位于网络一侧并监视流量的可见性工具. 它由管理控制台和传感器组成,当遇到与先前检测到的攻击签名匹配的东西时,传感器会将活动报告给控制台.
以上最后一点是辨别这两种策略之间区别的关键,这两种策略表面上看起来很相似. IDPS检测已知的攻击特征,并能够快速将当前活动与过去的攻击进行匹配. One of the primary functions of an MDR program 是检测新的或未知类型的攻击,并对这些新威胁采取对策.
Getting into the weeds of process, IDPS的任务是扫描连接在一起的端点和系统的整个网络. 它采用宏观视角,并与大型威胁组织实施的现代企业攻击相匹配. Antivirus primarily scans files on a network, 确保网络上存在的每个文件的完整性和适当性-如果不是,则快速隔离它们.
IDPS systems can look and act differently in subtle ways, depending on the end-use of the telemetry gathered. Let’s take a look at how the National Institute of Standards and Technology describes IDPS system function across some key scenarios:
A network-based IDPS monitors network traffic for network segments, analyzing the network activity to identify suspicious activity. It can identify many different types of events, and is most commonly deployed at a boundary between networks, like firewalls or remote access servers.
基于主机的IDPS监视主机内发生的事件特征,以查找可疑活动. This includes monitoring network traffic, system logs, running processes, application activity, file access and modification, and system and application configuration changes. 基于主机的idps通常部署在关键主机(如公共服务器)上.
无线IDPS监控无线网络流量并分析协议以识别可疑活动. 它不能识别应用程序或更高层网络协议中的可疑活动. 它通常部署在组织的无线网络范围内, but can also monitor for unauthorized wireless networking.
NBA系统检查网络流量以识别产生异常流量的威胁,例如 distributed denial of service (DDoS) attacks, certain forms of malware, and policy violations. NBA系统最常用于监控组织内部网络上的流量, 也可用于监控组织之外的外部流量.
What are some of the inner-workings of an IDPS? The below list isn't exhaustive of each and every process involved, 但它包含了在发生可疑活动时可以执行的协议.
启发式检测通过匹配特定的行为而不是代码中的精确模式来识别恶意代码. It watches the way the code runs, 并根据更复杂的规则决定危险的行为.
管理员可以通过查看日志的统计分析了解当前系统的行为, trend predictions, and troubleshooting efforts. 通过先进的统计分析,可以更快地检测到异常事件,并更快地实施响应计划.
应用层协议分析是该技术的核心, 将未损坏的协议与可能可疑的活动进行比较, with the ultimate goal of catching anomalies and denying access.
此过程将洞察力应用于网络事件,目的是检测受损凭据, lateral movement, and other malicious behavior. This typically applies to how users behave on a network versus static threat indicators.
要阻止不断演变的威胁和破坏,显然需要检测和响应方法. However, 预防流程可以缓解安全组织可能面临的更大问题. 预防技术包括阻止正在进行的攻击, monitoring for changes in a security environment, 并积极修改攻击内容以减轻其影响.
To conduct IDPS techniques in the most hygienic way possible, 在建立入侵检测和防御系统时,利用一些最佳实践是一个好主意.
This type of assessment 是否允许安全团队正确管理和修补对网络构成风险的漏洞, 保护组织免受威胁行为者和可能的破坏. 评估将有助于定义网络上的漏洞,并获得对网络整体结构的可见性,以便分析人员可以定义什么是“好的”.
基于签名的检测通常“活在当下”,不擅长检测未知攻击. 它们可以将签名与已知行为进行比较,并以这种方式捕捉可疑活动, 因此,定期更新签名和管理特定对象的规则非常重要 network security objectives.
防火墙通常生成数据,然后由 security information and event management (SIEM) system. 这些防火墙数据可以以日志、网络流量和警报的形式出现. 这种共生关系有助于构建健康网络行为的图景.
Remaining in compliance with both internal and external policies (i.e. government-mandated policies) is critical to network health. 定期安排网络评估和审计可以确保符合安全配置, password policies, and access control requirements. 根据内部构建的基准评估网络安全可以并且将有助于减轻威胁.