¿Cuál es la diferencia entre un antivirus y un IPS?

4

Según tengo entendido, un sistema de protección contra intrusiones (IPS) detecta un comportamiento anómalo, detecta anomalías de protocolo y realiza un filtrado de firmas que bloquea el malware, DDoS, etc. Un antivirus también analiza el tráfico y bloquea el malware.

Estoy confundido entonces, ¿cuál es la diferencia?

¿Es un IPS como Checkpoint, en última instancia, agregando una firma de antivirus solo en IPS, o está usando un software completamente nuevo?

¿Puede Suricata actuar como IPS y como antivirus si agrego firmas CLAMAV?

    
pregunta sfg2k 28.11.2017 - 20:37
fuente

2 respuestas

3

Una buena manera simplista de pensar esto es que un IPS generalmente está asociado con un firewall, mientras que AV está asociado con el software.

En el entorno de McAfee que administro, uso IPS para bloquear / permitir el tráfico del firewall. Así que tomo lo que se sabe y se espera, y luego bloqueo el resto. IPS también analiza qué aplicaciones se comunican a través de qué puertos y hacia dónde.

Antivirus, por otro lado, mira el software que desea ejecutar en su dispositivo y lo compara con una lista de ejecutables mal conocidos y, junto con las heurísticas, con una lista de malos comportamientos conocidos. Por lo tanto, AV detendría a CryptoLocker al bloquear el comportamiento de cifrado, e IPS lo bloquearía (teóricamente) bloqueando el tráfico a su servidor C & C.

No estoy familiarizado con Checkpoint, así que voy a remitir las respuestas a esa pregunta a otras personas aquí.

    
respondido por el baldPrussian 28.11.2017 - 20:54
fuente
0

Independientemente de la marca que tengan, prefiero buscar en host -xx o red-basedxx, el trabajo que realizan en los niveles OSI / TCP. Es posible que tenga una computadora portátil y un firewall activado y / o un producto AV en ejecución. computadora portátil. Todos ellos se ejecutan en su computadora portátil. Sin embargo, el producto de firewall es un servidor que se ejecuta delante de usted. Piense en otra capa antes de su computadora portátil. Este servidor de seguridad hace lo que se supone que debe hacer en la red. Los vendedores, el mencionado también , agregando malware, avs, filtrado de url, etc. a sus productos. El firewall es como un AV. Por ejemplo, la puerta de enlace de seguridad del punto de control tiene firewall, blades av, etc., como otros homólogos. Algunos proveedores separan estas características, algunos planean poner todo en él. nombre de like next next fw o UTM. A veces, las hojas de datos de esos productos también son confusas.

    
respondido por el hakkican 29.11.2017 - 13:07
fuente

Lea otras preguntas en las etiquetas