IDS vs IPS vs DLP - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Krec

IDS vs IPS vs DLP

Автор Krec, в Помощь

Recommended Posts

Krec    1

Krec
Опубликовано

На рынке уже много систем разного рода, IDS, IPS и DLP.

 

Ну если считать, что DLP предназначен для предотвращения утечки данных, то зачем IDS, если есть IPS?

Т.е. зачем и где используется именно IDS ? (система обнаружения атаки) если можно использовать IPS (предотвращения) . ведь смысл просто обнаружить, если не предотвращать?

 

И еще, IPS не сможет заменить DLP ? Ну или может есть решение 2in1 ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Ну если считать, что DLP предназначен для предотвращения утечки данных, то зачем IDS, если есть IPS? Т.е. зачем и где используется именно IDS ? (система обнаружения атаки) если можно использовать IPS (предотвращения) . ведь смысл просто обнаружить, если не предотвращать?

 

Под IDS и IPS подразумевают одно и тоже. Изначально технология называлась IDS (детектирование), а затем стали именовать более продвинуто IPS (предотвращение). На сетевом уровне есть множество ПАК с фукциями IPS: Check Point, Cisco, Palo Alto, Fortinet и тп Суть здесь в защите от внешних атак с использованием известных сигнатур атак (или неизвестных  zero-day), направленных на определенные уязвимости. При помощи IPS мы защищаем от внешних атак (попыток заражения и приниктовения в корп. сеть). Хотя сейчас IPS  становятся намного умнее, уже появился термин NGIPS (двигается Cisco/SourceFire).

 

DLP - это совершенно другое. Здесь мы работаем с легитимными пользователями, у которых есть нужные права. DLP направлена на внутренние угрозы. Они ничего не ломают и не атакуют. IPS  тут совершенно ничем не поможет.

 

И еще, IPS не сможет заменить DLP ? Ну или может есть решение 2in1 ?

 

 Насколько мне известно полноценно DLP в пакете с  IPS нет. Например, в рамках  UTM-устройств у Check Point есть блейды  DLP и IPS. Но если  IPS там полноценный, то DLP ... сильно начального уровня и, естественно, только шлюзовой.

 

В общем ИМХО не стоит мешать эти два продукта и две задачи в одну.

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Krec    1

Krec
Опубликовано

Спасибо. в принципе понял.

а про NGIPS не слышал, почитал - видимо он только у Cisco.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

а про NGIPS не слышал, почитал - видимо он только у Cisco.

 

На самом деле нет, это скорее маркетинговый термин, как и NGFW. Я лично так и не могу понять, чем обычный FW отличается от NGFW. :) Маркетинг ....

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • Ego Dekker
      Удаление антивирусов ESET

      От Ego Dekker · Опубликовано

      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×