Методы обнаружения вторжения постоянно развивались и модернизировались. Идеи о том, Что такое «тревожное» событие и Как это событие обнаружить, породили разного рода споры и тысячи технологических инструментов. Сегодня все системы IDS можно разделить на две большие категории: локальные и сетевые инструменты. Как и в вопросе выбора межсетевого экрана, существуют разные точки зрения на то, какие инструменты IDS (и почему) самые лучшие. Одни специалисты, например, настаивают на том, что достоинства сетевых систем перевешивают любой набор возможностей локальной IDS, другие, напротив, настаивают на применении локальных систем, аргументируя это тем, что сетевые IDS «слепы» по отношению к шифрованному трафику, так стремительно завоевывающему сеть. Истина находится посередине, между этими крайностями. Сетевые IDS незаменимы в качестве дополнительного средства для сбора информации о трафике. Локальные системы, в свою очередь, отлично дополняют сетевые в тех местах, где требуется следить за шифрованными потоками и где необходим дополнительный уровень разграничения доступа и контроля над программами.
Необходимо следить за тем, чтобы IDS соответствовала регламенту вашей политики безопасности. Важно, чтобы IDS «проводила в жизнь» установленные политикой правила. Однако старайтесь не делать из IDS своего рода сетевого шпиона, контролирующего каждый вздох сотрудников компании, — как показывает практика, это приводит к ошибкам в конфигурации и искажает информацию о реальных попытках вторжения (или несанкционированного доступа). Для целей слежения за действиями сотрудников используйте другие средства. Независимо от того, какие именно системы обнаружения вторжения вы используете, их необходимо настраивать для работы с сетевым окружением. Конфигурация требует усилий и времени, но в этом случае цель оправдывает средства.
