Krec

IDS vs IPS vs DLP

В этой теме 4 сообщения

На рынке уже много систем разного рода, IDS, IPS и DLP.

 

Ну если считать, что DLP предназначен для предотвращения утечки данных, то зачем IDS, если есть IPS?

Т.е. зачем и где используется именно IDS ? (система обнаружения атаки) если можно использовать IPS (предотвращения) . ведь смысл просто обнаружить, если не предотвращать?

 

И еще, IPS не сможет заменить DLP ? Ну или может есть решение 2in1 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну если считать, что DLP предназначен для предотвращения утечки данных, то зачем IDS, если есть IPS? Т.е. зачем и где используется именно IDS ? (система обнаружения атаки) если можно использовать IPS (предотвращения) . ведь смысл просто обнаружить, если не предотвращать?

 

Под IDS и IPS подразумевают одно и тоже. Изначально технология называлась IDS (детектирование), а затем стали именовать более продвинуто IPS (предотвращение). На сетевом уровне есть множество ПАК с фукциями IPS: Check Point, Cisco, Palo Alto, Fortinet и тп Суть здесь в защите от внешних атак с использованием известных сигнатур атак (или неизвестных  zero-day), направленных на определенные уязвимости. При помощи IPS мы защищаем от внешних атак (попыток заражения и приниктовения в корп. сеть). Хотя сейчас IPS  становятся намного умнее, уже появился термин NGIPS (двигается Cisco/SourceFire).

 

DLP - это совершенно другое. Здесь мы работаем с легитимными пользователями, у которых есть нужные права. DLP направлена на внутренние угрозы. Они ничего не ломают и не атакуют. IPS  тут совершенно ничем не поможет.

 

И еще, IPS не сможет заменить DLP ? Ну или может есть решение 2in1 ?

 

 Насколько мне известно полноценно DLP в пакете с  IPS нет. Например, в рамках  UTM-устройств у Check Point есть блейды  DLP и IPS. Но если  IPS там полноценный, то DLP ... сильно начального уровня и, естественно, только шлюзовой.

 

В общем ИМХО не стоит мешать эти два продукта и две задачи в одну.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо. в принципе понял.

а про NGIPS не слышал, почитал - видимо он только у Cisco.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а про NGIPS не слышал, почитал - видимо он только у Cisco.

 

На самом деле нет, это скорее маркетинговый термин, как и NGFW. Я лично так и не могу понять, чем обычный FW отличается от NGFW. :) Маркетинг ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS