Pregunta:
Asuma este escenario:
Alguien que intenta piratear un sitio web. En pocas palabras: www.site.com/example.php?=<script>alert(1)</script>
Un HIDS vería este intento en el registro de acceso de Apache, un NIDS vería este intento en la sección HTTP del paquete y el WAF en la URL.
Si todos están detectando el ataque, ¿por qué se necesitan todos en una infraestructura?
Respuesta:
Tiene razón al pensar que estas tres tecnologías son complementarias y, a menudo, detectarán los mismos problemas. Sin embargo, eso en sí mismo no es motivo para no usarlos en capas. Uno puede captar cosas que el otro no. Mire los escáneres de virus : aquí hay un ejemplo en el que solo el 14% de los 37 escáneres que intentaron encontraron el virus . ¡Y eso es exactamente con el mismo tipo de protección!
Los productos que ha enumerado tienen más variación que la comparación de escáneres de virus y, de hecho, tienen diferencias arquitectónicas significativas. Un HIDS a menudo verá cosas que pasaron por alto el NIDS debido al cifrado SSL. Un WAF a menudo tendrá firmas específicas para una aplicación web que NIDS y HIDS no tendrán. El NIDS detectará ataques a la capa de red que WAF y HIDS nunca notarían.
En resumen, complementario no significa igual.