À medida que as empresas continuam a aumentar o uso da Internet para fins comerciais, as ocorrências de intrusões de TI aumentarão. Essas invasões são conhecidas como violações de segurança e resultam na perda de informações proprietárias, se a violação for capaz de acessar informações confidenciais da empresa. A instalação de software de detecção de intrusão é a primeira linha de defesa para a maioria das empresas. Embora o software de detecção de intrusão possa ajudar na segurança da rede, há algumas desvantagens no software.
Endereços de origem
O software de detecção de intrusão fornece informações com base no endereço de rede associado ao pacote IP enviado à rede. Isso é benéfico se o endereço de rede contido no pacote IP for preciso. No entanto, o endereço contido no pacote IP pode ser falsificado ou embaralhado. Qualquer um desses cenários deixa o técnico de TI perseguindo fantasmas e incapaz de impedir que as invasões à rede ocorram.
Pacotes criptografados
Os pacotes criptografados não são processados pelo software de detecção de intrusão. Portanto, o pacote criptografado pode permitir uma intrusão na rede que não é descoberta até que ocorram intrusões de rede mais significativas. Os pacotes criptografados também podem ser configurados para serem ativados em uma hora ou data específica assim que forem implantados na rede. Isso poderia liberar um vírus ou outro bug de software, que poderia ser evitado se o software de detecção de intrusão fosse capaz de processar pacotes criptografados.
Módulo analítico
O módulo analítico tem uma capacidade limitada de analisar as informações de origem coletadas durante a detecção de intrusão. O resultado desse limite é que apenas uma parte das informações de origem é armazenada em buffer. Enquanto um profissional de TI monitorando o sistema será alertado de que um comportamento anormal foi detectado, ele não poderá dizer de onde o comportamento se originou. A resposta a esta informação só pode ser tentar impedir o acesso não autorizado à rede. Se mais informações pudessem ser obtidas, o profissional de TI poderia adotar uma abordagem defensiva para evitar futuras invasões antes que elas ocorram.
Alarmes falsos
Os sistemas de detecção de intrusão são capazes de detectar comportamentos que não são normais para o uso médio da rede. Embora seja bom poder detectar o uso anormal da rede, a desvantagem é que o software de intrusão pode criar um grande número de alarmes falsos. Esses falsos alarmes são aumentados em redes onde há um grande número de usuários. Para evitar perseguir esses alarmes falsos, os profissionais de TI devem receber treinamento extensivo para que possam reconhecer o que é um alarme falso e o que não é. A despesa de concluir este treinamento é outra desvantagem do software de detecção de intrusão com a qual as empresas devem lidar.
