Intrusion detectie en preventie systemen worden voor bedrijven en organisaties die hun beveiliging serieus nemen als onmisbaar beschouwd. Elk jaar verschijnen er weer nieuwe modellen en IPS/IDS leveranciers doen goede zaken.
Toch is het maar de vraag wat je aan een IDS/IPS hebt. Voor hackers zijn deze appliances en software een interessant doelwit, omdat al het verkeer er doorheen gaat. Weet je het systeem over te nemen, dan heb je vrij spel en kun je naar hartelust wachtwoorden en andere vertrouwelijke informatie sniffen.
Dat brengt ons meteen bij het tweede nadeel, en dat is het aantal beveiligingslekken waar deze oplossingen mee te maken hebben. Zo zijn er in het verleden regelmatig lekken en kwetsbaarheden in Snort gevonden, het populaire "open source network intrusion prevention en detection systeem."
Daarnaast blijft het de vraag of een echte hack wel wordt opgemerkt. Bekende aanvallen herkennen is voor de meeste oplossingen geen probleem, maar hoe zit het met zero day exploits en andere aanvallen, die grote kans onopgemerkt blijven?
Last but not least geven IPS/IDS veel false positives, wat uiteindelijk ervoor kan zorgen dat echte waarschuwingen in alle ruis verloren gaan en beheerders van het IPS/IDS lui worden omdat er "waarschijnlijk toch niets aan de hand is".
Onze stelling luidt derhalve: IDS en IPS houden echte hackers niet buiten de deur
Deze posting is gelocked. Reageren is niet meer mogelijk.