Перейти к содержанию
Krec

IDS vs IPS vs DLP

Recommended Posts

Krec

На рынке уже много систем разного рода, IDS, IPS и DLP.

 

Ну если считать, что DLP предназначен для предотвращения утечки данных, то зачем IDS, если есть IPS?

Т.е. зачем и где используется именно IDS ? (система обнаружения атаки) если можно использовать IPS (предотвращения) . ведь смысл просто обнаружить, если не предотвращать?

 

И еще, IPS не сможет заменить DLP ? Ну или может есть решение 2in1 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ну если считать, что DLP предназначен для предотвращения утечки данных, то зачем IDS, если есть IPS? Т.е. зачем и где используется именно IDS ? (система обнаружения атаки) если можно использовать IPS (предотвращения) . ведь смысл просто обнаружить, если не предотвращать?

 

Под IDS и IPS подразумевают одно и тоже. Изначально технология называлась IDS (детектирование), а затем стали именовать более продвинуто IPS (предотвращение). На сетевом уровне есть множество ПАК с фукциями IPS: Check Point, Cisco, Palo Alto, Fortinet и тп Суть здесь в защите от внешних атак с использованием известных сигнатур атак (или неизвестных  zero-day), направленных на определенные уязвимости. При помощи IPS мы защищаем от внешних атак (попыток заражения и приниктовения в корп. сеть). Хотя сейчас IPS  становятся намного умнее, уже появился термин NGIPS (двигается Cisco/SourceFire).

 

DLP - это совершенно другое. Здесь мы работаем с легитимными пользователями, у которых есть нужные права. DLP направлена на внутренние угрозы. Они ничего не ломают и не атакуют. IPS  тут совершенно ничем не поможет.

 

И еще, IPS не сможет заменить DLP ? Ну или может есть решение 2in1 ?

 

 Насколько мне известно полноценно DLP в пакете с  IPS нет. Например, в рамках  UTM-устройств у Check Point есть блейды  DLP и IPS. Но если  IPS там полноценный, то DLP ... сильно начального уровня и, естественно, только шлюзовой.

 

В общем ИМХО не стоит мешать эти два продукта и две задачи в одну.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Спасибо. в принципе понял.

а про NGIPS не слышал, почитал - видимо он только у Cisco.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

а про NGIPS не слышал, почитал - видимо он только у Cisco.

 

На самом деле нет, это скорее маркетинговый термин, как и NGFW. Я лично так и не могу понять, чем обычный FW отличается от NGFW. :) Маркетинг ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Vvvyg
    • akoK
      А обсуждение еще живое или форум по UVS переехал?
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006 Как видно применён твик: № 18 В итоге по логу FRST видим: HKLM\...\Policies\Explorer: [DisallowRun] 0
      HKLM\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0 т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор. uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи. Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме. Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы. Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д. Какова роль uVS  ? 
    • PR55.RP55
      Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь: https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5 ------------ ------------
      Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932    
    • santy
      Форум открыт для доступа и комментариев и предложений. Можно продолжить по  работе с uVS здесь.
×