Sistemas de Detecção de Intrusão de Host e Sistemas de Detecção de Intrusão de Rede, ou HIDs e NIDs, são sistemas de segurança de rede de computadores usados para proteger contra vírus, spyware, malware e outros tipos de arquivos maliciosos. A diferença é que os HIDs são instalados apenas em determinados pontos de interseção, como servidores e roteadores, enquanto os NIDs são instalados em todas as máquinas host.
Objetivo
Devido ao rápido aumento de ataques de rede, HIDs e NIDs tornaram-se comuns. Embora firewalls e pacotes antimalware sejam adequados para computadores individuais, eles não possuem a inteligência necessária para defender uma rede corporativa. Como exemplo, HIDs e NIDs coletam informações de uma rede e comparam essas informações com padrões predefinidos para descobrir ataques e vulnerabilidades. Eles também criam bancos de dados de comportamento normal.
Funções principais
Os HIDs examinam ações específicas baseadas em host, como quais aplicativos estão sendo usados, quais arquivos estão sendo acessados e quais informações residem nos logs do kernel. Os NIDs analisam o fluxo de informações entre computadores, ou seja, o tráfego de rede. Eles essencialmente "farejam" a rede em busca de comportamento suspeito. Assim, os NIDs podem detectar um hacker antes que ele possa fazer uma intrusão não autorizada, enquanto os HIDs não saberão que algo está errado até que o hacker já tenha violado o sistema.
Benefícios HIDs
Embora os HIDs possam parecer uma solução ruim no início, eles têm vários benefícios. Por um lado, eles podem impedir que ataques resultem em qualquer dano. Por exemplo, se um arquivo malicioso tentar reescrever um arquivo, o HID pode cortar seus privilégios e colocá-lo em quarentena. Os HIDs podem manter os laptops protegidos quando são retirados de uma rede e colocados em campo. Em última análise, os HIDs são uma ferramenta de "última linha de defesa" usada para evitar ataques perdidos pelo NID.
Benefícios dos NIDs
Onde os NIDs se destacam é sua capacidade de proteger centenas de sistemas de computador a partir de um local de rede. Isso torna um NID menos caro -- para não mencionar mais fácil de implantar. Os NIDs também fornecem um exame mais amplo de uma rede corporativa por meio de varreduras e sondagens. Mais importante, os NIDs permitem que os administradores protejam dispositivos que não sejam computadores, como firewalls, servidores de impressão, concentradores de VPN e roteadores. Os benefícios adicionais incluem flexibilidade com vários sistemas operacionais e dispositivos e proteção contra inundações de largura de banda e ataques DoS.
Solução ideal
Idealmente, uma rede corporativa deve apresentar um HID e um NID. O primeiro protegerá as máquinas locais e atuará como última linha de defesa, enquanto o NID manterá a rede real segura e protegida. Ambos são capazes de fornecer mais segurança do que qualquer firewall ou pacote antivírus, mas cada um não possui certos recursos que o outro contém. Assim, combinar os dois é a única maneira de criar uma rede defensiva verdadeiramente robusta.