He pasado por lo que son los IDS / IPS. Entiendo la diferencia entre un NIDS / NIPS y un HIDS / HIPS.
Pero Host IDS y Host IPS me parecen un software antivirus, ¿hay alguna diferencia?
He pasado por lo que son los IDS / IPS. Entiendo la diferencia entre un NIDS / NIPS y un HIDS / HIPS.
Pero Host IDS y Host IPS me parecen un software antivirus, ¿hay alguna diferencia?
Primero, hablas de HI D S y HI P S.
Dado que un uso principal de antivirus es bloquear activamente el acceso a los archivos detectados como maliciosos, entonces estaría más cerca de un HIPS que HIDS.
¿Son lo mismo? Esta es una buena pregunta, especialmente porque Wikipedia afirma que " las líneas se vuelven muy borrosas aquí, como muchos de las herramientas se superponen en la funcionalidad. "
Históricamente hablando: no. Un objetivo principal del antivirus es detectar y bloquear el acceso a archivos maliciosos, mientras que la solución HIPS tiene un objetivo más amplio: puede rastrear los cambios en el sistema de archivos (para detectar cambios que no necesariamente impliquen ningún código malicioso, como un cambio inesperado en la configuración de ejemplo), analice los archivos de registro (registros del sistema y de la aplicación), verifique los componentes del sistema para detectar cualquier irregularidad y, de hecho, intente detectar un posible malware.
Una solución HIPS puede estar compuesta de varios programas diferentes y el antivirus es solo uno de ellos, o uno puede ir hacia soluciones todo en uno donde una sola herramienta agrupará todas estas funciones.
El hecho es que en la actualidad los antivirus para usuarios finales son un poco más que simples antivirus, con el tiempo han acumulado un gran panel de funciones que los convierten más en suites de seguridad que pueden ser efectivamente percibido como soluciones HIPS del usuario final.
Por lo tanto, mi respuesta aquí es de dos pliegues:
HIDS / HIPS puede monitorear los paquetes de red que llegan ao desde ese host específico, y detecta casi cualquier modificación que un usuario malintencionado local o remoto realice para evitar su política de seguridad, como la manipulación de archivos del sistema o registros de eventos, configuración subir puertas traseras, etc.
Los antivirus analizan los archivos, correos electrónicos y cualquier otra cosa para las firmas que se sabe que están asociadas con el malware.