ids je vhode pre maximalne managerov aby videly nejake grafiky, statistiky atd..
efektivitu povazujem za nulovu
co je lepsie, liecit aids, alebo predchadzat nakazeniu ?
OFFTOPIC: dost naivni predstava :) farmaceuticke firmy jsou velka kapitalisticke lobby, prectete si neco ohledne sporu farmaceutickych firem vyvijejici leky proti AIDS a jihoafrickych republik. Penize jsou penize a cena cloveka je vycislitelna - dle WB je to jeho prinos na HDP.
ids se taky hodi spravcum, kteri chteji byt spraveni o tom ze se neco deje v historicky kratke dobe. ne kazdy ma do hlavy 24 hod. denne nacpanej kabel, do kteryho mu leze feed z logu, ps, top atd.
je hezke prijit k serveru, a zjistit, ze vypadek zpusobil clovek, ktery si nejdriv stahnul co potreboval a pak nam to pro jistotu smazal, a nakopat mu prdel (nebo ani to ne, pac ten smejd vzal ssebou i logy, a my sme blbci, co nemaji dedikovany server(y) pro sber logu).
jeste hezci je vsak prijit chvili po tom co zacal (protoze idsko zarvalo ze divnej provoz a kdesi cosi), odstrelit ho a nakopat mu prdel ;-))))
vubec nejhezci idea je, ze idsko uz je natolik inteligentni, ze chvili po tom, co zacal neco zkouset to nase idsko poznalo, a ... (zde si kazdy doplni podle fantazie, ja snim o tom, ze mu byl podstrcen - tvrde logovanej - shell pekne nekde v jailu, a at se borec snazi nam o sobe - a svejch umyslech - zanechat co nejlepsi info ;-)))
ale fakt, idska jsou na nic, bezpecnost je pro lamy, pac opravdovi borci si vystaci s ethernetovou zasuvkou, zarovickou a baterii, a at je nekdo hakne.
Tak to je samozřejmě naprostá hovadina. V dostatečně složitém systému se nedá uhlídat neexistence chyb, a reagovat na to co se v systému opravdu děje je ektivní. Nevím co si představuješ pod IDS, ale správná IDS by měl být "velký bratr", který kromě vlastních testů nasává všechny možné logy, stavové informace,... a upozorňuje na podezřelé chování.
nesmíš tolik číst gartnerovy reporty. IDS je nezbytnost, protože neexistuje situace, kdy by sis mohl být jistý spolehlivostí svých bezpečnostních mechanismů a integritou bezpečnostní politiky.
Jestli chceš procházet logy z aplikací, hw zařízení, systému ručně, k tomu budeš permanentně zkoumat data z tcpdumpu a ještě budeš promítat na zeď kanclu vncklienty tvých workstation, budiž, je to tvůj boj. Pokud ne, ale přesto to chceš hlídat, ids je dobrý prostředek.
Poznamenám ještě jen, že nakonfigurovat a vyladit IDS je práce na měsíce, spíš roky...
jednoducha odpoved : neco nainstalouj, a naserviruj mu manazerskou odpoved : system byl nainstalovan, avsak protoze nebyl psan primo pro vasi sit a neni plne kompatibilni s vasim SW, je potreba nejaka zabehova doba po kterou se budou vychytavat mouchy a budese pracovat na silnejsi integraci do stavajici infrastruktury.
Ja si myslim, ze IDS/IPS je dobra vec, ale mozna ten princip, jak dneska funguje je trochu vedle.
Treba IPS porad zakazuje to co je spatne a ten zbytek propusti. Coz je jak u prvnich firewallu (blokovat par "nebezpecnych" veci, zbytek propustit). Melo by to byt naopak, jako u soucasnych firewallovych pravidel (ve vetsine pripadu tedy), tj. propustit pouze dobre, zbytek zahodit. Tj. jit na to trochu naopak. Proplem je v te definici a detekci dobre/spatne :o]
Tohle je uvazovani, diky kteremu vetsina poskytovatelu internetu narve zakazniky za NAT a ignoruje, ze nemuzou delat nic uzitecnyho (jako treba postavit vlastni webovsky server).
Podle meho nazoru problem proste nema jednoduche reseni (vynechame-li specificke pripady firem natolik uzce zamerenych, ze jde skutecne odhadnout co zamestnanci smi delat).
