¿No es complementario a HIDS, NIDS y WAF?

7

Supongamos este escenario:

Alguien que intenta hackear un sitio web. Simplemente coloque: www.site.com/example.php?=<script>alert(1)</script>

Una HIDS vería este intento en el registro de acceso de Apache, a NIDS vería este intento en la sección HTTP del paquete y la WAF en la URL.

Si todos ellos están detectando el ataque, ¿por qué se necesitan todos ellos en una infraestructura?

    
pregunta yzT 17.03.2014 - 14:06
fuente

1 respuesta

9

Es correcto pensar que estas tres tecnologías son complementarias y que a menudo detectarán los mismos problemas. Sin embargo, eso en sí mismo no es razón para no usarlos en capas. Uno puede atrapar cosas y el otro no. Mire escáneres de virus : aquí hay un ejemplo en el que solo 14 % de los 37 escáneres intentaron encontrar el virus ! ¡Y eso es exactamente con el mismo tipo de protección!

Los productos que has listado tienen más variaciones que los antivirus, y de hecho tienen diferencias arquitectónicas significativas. Un HIDS a menudo verá cosas que pasaron el NIDS debido al cifrado SSL. Un WAF a menudo tendrá firmas específicas para una aplicación web que el NIDS y el HIDS no tendrán. El NIDS detectará ataques de capa de red que el WAF y el HIDS nunca notarán.

En resumen, complementario no significa igual.

    
respondido por el gowenfawr 17.03.2014 - 14:41
fuente

Lea otras preguntas en las etiquetas