Vlákno názorů k článku
Systém detekce průniků založený na ohodnocování chování procesů

ids je vhode pre maximalne managerov aby videly nejake grafiky, statistiky atd..
efektivitu povazujem za nulovu
co je lepsie, liecit aids, alebo predchadzat nakazeniu ?

heh, je otazka co je lepsi pro koho, pro pacienta jiste prevence, pro farmaceuticke firmy zcela jiste leceni ;)

OFFTOPIC: dost naivni predstava :) farmaceuticke firmy jsou velka kapitalisticke lobby, prectete si neco ohledne sporu farmaceutickych firem vyvijejici leky proti AIDS a jihoafrickych republik. Penize jsou penize a cena cloveka je vycislitelna - dle WB je to jeho prinos na HDP.

ids se taky hodi spravcum, kteri chteji byt spraveni o tom ze se neco deje v historicky kratke dobe. ne kazdy ma do hlavy 24 hod. denne nacpanej kabel, do kteryho mu leze feed z logu, ps, top atd.

je hezke prijit k serveru, a zjistit, ze vypadek zpusobil clovek, ktery si nejdriv stahnul co potreboval a pak nam to pro jistotu smazal, a nakopat mu prdel (nebo ani to ne, pac ten smejd vzal ssebou i logy, a my sme blbci, co nemaji dedikovany server(y) pro sber logu).

jeste hezci je vsak prijit chvili po tom co zacal (protoze idsko zarvalo ze divnej provoz a kdesi cosi), odstrelit ho a nakopat mu prdel ;-))))

vubec nejhezci idea je, ze idsko uz je natolik inteligentni, ze chvili po tom, co zacal neco zkouset to nase idsko poznalo, a ... (zde si kazdy doplni podle fantazie, ja snim o tom, ze mu byl podstrcen - tvrde logovanej - shell pekne nekde v jailu, a at se borec snazi nam o sobe - a svejch umyslech - zanechat co nejlepsi info ;-)))

ale fakt, idska jsou na nic, bezpecnost je pro lamy, pac opravdovi borci si vystaci s ethernetovou zasuvkou, zarovickou a baterii, a at je nekdo hakne.

Tak to je samozřejmě naprostá hovadina. V dostatečně složitém systému se nedá uhlídat neexistence chyb, a reagovat na to co se v systému opravdu děje je ektivní. Nevím co si představuješ pod IDS, ale správná IDS by měl být "velký bratr", který kromě vlastních testů nasává všechny možné logy, stavové informace,... a upozorňuje na podezřelé chování.

nesmíš tolik číst gartnerovy reporty. IDS je nezbytnost, protože neexistuje situace, kdy by sis mohl být jistý spolehlivostí svých bezpečnostních mechanismů a integritou bezpečnostní politiky.
Jestli chceš procházet logy z aplikací, hw zařízení, systému ručně, k tomu budeš permanentně zkoumat data z tcpdumpu a ještě budeš promítat na zeď kanclu vncklienty tvých workstation, budiž, je to tvůj boj. Pokud ne, ale přesto to chceš hlídat, ids je dobrý prostředek.
Poznamenám ještě jen, že nakonfigurovat a vyladit IDS je práce na měsíce, spíš roky...

Ok ja dostal za ukol od zamestnavatele do dvou dnu... No inu ajtý menedžr se nezapře.

jednoducha odpoved : neco nainstalouj, a naserviruj mu manazerskou odpoved : system byl nainstalovan, avsak protoze nebyl psan primo pro vasi sit a neni plne kompatibilni s vasim SW, je potreba nejaka zabehova doba po kterou se budou vychytavat mouchy a budese pracovat na silnejsi integraci do stavajici infrastruktury.

proste to prospikuj terminama a je to ;-)))

Ja si myslim, ze IDS/IPS je dobra vec, ale mozna ten princip, jak dneska funguje je trochu vedle.
Treba IPS porad zakazuje to co je spatne a ten zbytek propusti. Coz je jak u prvnich firewallu (blokovat par "nebezpecnych" veci, zbytek propustit). Melo by to byt naopak, jako u soucasnych firewallovych pravidel (ve vetsine pripadu tedy), tj. propustit pouze dobre, zbytek zahodit. Tj. jit na to trochu naopak. Proplem je v te definici a detekci dobre/spatne :o]

:) jenze to uz by pak nebyl detektor pruniku, ale spis povolovac normality :)

Tohle je uvazovani, diky kteremu vetsina poskytovatelu internetu narve zakazniky za NAT a ignoruje, ze nemuzou delat nic uzitecnyho (jako treba postavit vlastni webovsky server).

Podle meho nazoru problem proste nema jednoduche reseni (vynechame-li specificke pripady firem natolik uzce zamerenych, ze jde skutecne odhadnout co zamestnanci smi delat).