Quelle est la différence entre un anti-virus et une IPS?

Un bon moyen simpliste d'en penser est qu'un IPS = est généralement associé à un pare-feu, tandis qu'AV est associé à des logiciels.

Dans l'environnement McAfee, j'habite, j'utilise IPS pour bloquer/permettre le trafic de pare-feu. Donc, je prends ce qui est connu et attendu, puis bloquez le reste. IPS regarde également quelles applications communiquent sur quels ports et où.

Antivirus, d'autre part, regarde des logiciels qui souhaitent courir sur votre appareil et compare à la liste des mauvais exécutables connus et, ainsi que des heuristiques, contre une liste de mauvais comportements connus. Ainsi, AV arrêterait CryptoLocker en bloquant le comportement de cryptage, et IPS le bloquerait (théoriquement) le bloquer en bloquant le trafic de son serveur C & C.

Je ne connais pas le point de contrôle, alors je vais différer des réponses à cette question à d'autres personnes ici.

Les deux n'existent plus parce que ce n'est pas en 1999. C'est 2019.

• AV a été remplacé par EDR au moins d'ici 2013
• Les IP ont été remplacés par UBA en 2014

Ce que vous recherchez, ce sont des plates-formes de détection et de réponse des points de fin et/ou des plates-formes d'analyse de comportement des utilisateurs. Soit peut travailler sur une combinaison de données finales et de données de réseau - mais fournissez également des capacités de recherche d'indicateurs.

Les anciens outils ont une période difficile s'adaptant à ce nouveau paradigme. Il n'y a souvent pas de corrélations directes. Vous ne pouvez pas dire que la Suricata est une UBA ou que Clamav est une EDR. Ils ne sont pas et ne seront probablement jamais.