IDS/IPS
ב-2016, חברת Yahoo הודיעה שנפרצה ב-2013 - אבל רק ב-2016 הם גילו. 3 מיליארד חשבונות. האיך שגילו? מנטינג של outbound connections שנראו חריגים - traffic לIPs לא ידועים עם volume לא רגיל. אם היה IPS מוגדר נכון עם תגובה אוטומטית לanomalies, ייתכן שהפרצה הייתה מגולה מוקדם הרבה יותר.
IDS/IPS הם "תנועת הרחוב" של הרשת - כמו מצלמות אבטחה וסדרנים בגבולות. הם לא מחליפים Firewall ולא מחליפים SIEM - הם שכבת ניטור ובלימה ספציפית שרצה ב-Real Time על Network Traffic.
IDS vs IPS - Detection vs Prevention
IDS (Passive)
Detects, never blocks
False positives are harmless
Sees full traffic via mirror port
No real-time mitigation
Relies on humans to act
IPS (Inline)
Detects + blocks live
Stops attacks in real time
Auto-defense for known TTPs
False positive = downtime
Latency added to every packet