¿Hay alguna buena razón para elegir IDS sobre IPS?

La escucha pasiva del tráfico de red para detectar comportamientos sospechosos sigue siendo importante. Solo hay unos pocos ataques obvios que puedes detectar y bloquear inmediatamente, pero hay mucho tráfico que solo parece un poco sospechoso o incluso inocente. Pero, si recopila información sobre el tráfico durante un tiempo y quizás desde varios lugares de su red, es posible que vea un patrón en este tráfico inocente que apunte a anomalías o ataques que intentan ser ocultos (como APT).

Aparte de eso, el significado de palabras como IDS, IPS o firewall no está claramente definido y en su mayoría se reemplazan hoy en día por un discurso de marketing aún más borroso como "firewall de próxima generación" o "administración unificada de amenazas". Los productos clásicos de IDS como snort, bro y suricata todavía existen y están en desarrollo activo, pero en su mayoría están integrados en soluciones UTM o NGFW o cosas con diferentes nombres de marketing.

Diría que la razón principal por la que la mayoría de las organizaciones optan por un IDS en lugar de un IPS (suponiendo que lo hagan) es el hecho de que un falso positivo en un IDS es mucho menos perjudicial que un falso positivo de IPS. >

Si un IPS toma una acción incorrecta contra el tráfico legítimo que piensa es malicioso, realmente está haciendo más daño que bien.

¿Todavía venden IDS? Creo que la mayoría de los proveedores en estos días tienen un dispositivo de prevención de intrusiones. Este dispositivo se puede configurar para que funcione en modo 'IDS' o 'IPS'. De hecho, incluso puede ser tan específico como decir para un conjunto particular de firmas que solo detectan, no impiden. Haría esto para firmas que se sabe que arrojan muchos falsos positivos. Y para algunos otros conjuntos de firmas de los que está muy seguro, podría decirle al dispositivo que detecte y prevenga. Se acabaron los días en que había una línea clara entre lo que se considera un IDS y lo que se considera un IPS.