Jednak IDS może wykonywać też szereg innych działań, takich jak: zbieranie bardziej szczegółowej informacji o ataku, zmiana środowiska w sposób zmniejszający prawdopodobieństwo powodzenia ataku lub nawet – co nie zawsze jest dobrym pomysłem – wyprowadzenie kontrataku przeciwko rozpoznanemu napastnikowi.

Automatyczna reakcje są potencjalnie potężną, ale też i niebezpieczną bronią. Istnieje bowiem niebezpieczeństwo, że zautomatyzowany system będzie nadużywany przez osoby zakładające, iż nie ma potrzeby dostrajania parametrów tego systemu w celu spełnienia ich własnych potrzeb. Istnieje całkiem pokaźne grono osób, które instalują IDS i zapory ogniowe z parametrami domyślnymi, bez czytania dokumentacji instalacyjnej w celu zweryfikowania, czy te domyślne ustawienia są cokolwiek warte.

Zobacz również:

• Hakerzy włamali się do Europolu

Kolejnym zagrożeniem ze strony automatycznych reakcji jest to, że takie reakcje mogą być wykorzystywane przez napastników do przeprowadzania ataków typu DoS (Denial of Service). Klasycznym przykładem tego, jak dobrze zaplanowana polityka ochrony może być w łatwy sposób wykorzystana do działań szkodliwych jest automatyczne blokowanie kont przy przekroczeniu zadanego limitu wprowadzeń niewłaściwego hasła w jednej sekwencji ( na przykład sześć powtórzeń hasła przy jednokrotnym wprowadzeniu identyfikatora).

Niektórzy zarządcy systemów konfigurują parametry ochrony wprowadzając automatyczną blokadę konta w takich przypadkach i wymóg resetowania hasła przez administratora w celu odblokowania konta. Jest to niezłe zabezpieczenie – kraker nie ma w praktyce możliwości zastosowania losowego generatora haseł i w ten sposób nie może spenetrować systemu. Może natomiast zablokować dostęp do niego innym użytkownikom.

Napastnik musi tylko uzyskać listę nazw kont i wykorzystać przy każdym koncie limit błędnych haseł - wtedy może zablokować w praktyce cały system.

Ten sam cel – spowolnienie automatycznego łamania haseł online – można osiągnąć przez wprowadzenie umiarkowanego opóźnienia ( na przykład kilka minut) dopuszczającego kolejne wprowadzenie haseł po wyczerpaniu limitu. Można, co prawda, zablokować sporo kont bombardując system fałszywymi logonami w takim samym reżimie, ale znacznie trudniej jest wtedy zablokować je całkowicie.

Wracając do IDS i automatycznych reakcji: niektóre systemy dostępne dzisiaj zapewniają aktywne reakcje na atak. Nie tylko powiadamiają administratora systemu o ataku, ale też odpierają atak automatycznie. Jest to niewątpliwie dobry mechanizm, ale tez powinien być stosowany ostrożnie.

Napastnik może, na przykład, sfałszować adres źródłowy IP w ataku typu „zalew pakietów inicjujących”, i spowodować reakcje IDS polegającą na odrzuceniu legalnego ruchu pochodzącego z określonych źródeł. Taka sytuacja ma mniejsze znaczenie w przypadku publicznego ośrodka e-commerce, ale może być katastrofą dla ekstranetu ściśle powiązanego z zarządzaniem łańcuchem zaopatrzenia lub relacjami z klientem.

Tak więc pomimo tego, iż zautomatyzowane narzędzia są dobrym rozwiązaniem, to nie powinny być jednak stosowane bez nadzoru przez dłuższy czas. Człowiek może podejmować działania prowadzące do wyjaśnienia tego, co dzieje się w sieci natychmiast po pojawieniu się alarmu z IDS i zapobiegać takim manipulowaniem odpowiedzią, które może obrócić się przeciwko własnej sieci, na przykład w postaci ataku DoS.