Re: IDS Vs Firewall

Titolo dell'articolo citato: "Intrusion Detection Is Dead - Long Live 
Intrusion Prevention."

Refutato in maniera dettagliata e articolata da Gary Golomb (Enterasys) in un 
post alla lista ISN e a Focus-IDS:
http://www.securityfocus.com/archive/96/325633/2003-06-16/2003-06-22/0

La mia (più breve) opinione: secondo l'articolo l'efficacia degli apparati di 
intrusion prevention sta nel funzionare inline, essendo quindi in grado di 
bloccare gli attacchi mentre avvengono. Il difetto dell'intrusion detection - 
sempre secondo l'articolo - è principalmente quello di avere tonnellate di 
falsi positivi.
Quello che non viene spiegato è la magia attraverso la quale gli stessi vendor 
che oggi forniscono IDS pieni di falsi positivi riusciranno improvvisamente a 
costruire IPS che blocchino il traffico molesto senza fare disastri su quello 
legittimo.
Anche se questo potesse miracolosamente avvenire, l'analista di Gartenr 
postula che una tecnologia mirata alla protezione (IP) debba sostituirne 
un'altra (ID) che ha lo scopo di verificare se le protezioni funzionano. Il 
che è assurdo.

Ciao,
Giovanni

On Wednesday 18 June 2003 11:14, Andrea Iacopini wrote:
> Ciao,
> segnalo quest'articolo di GartnerGroup,
> http://www.gartner.com/5_about/press_releases/pr11june2003c.jsp


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List