Teste-nos

O que é IDS - Sistema de detecção de intrusão

June 26, 2024
Telecom
O que é IDS - Sistema de detecção de intrusão
Um sistema de detecção de intrusão é uma ferramenta de segurança de rede que monitora o tráfego de rede e os dispositivos em busca de atividades maliciosas ou suspeitas, ou violações da política de segurança.

O IDS acelera e automatiza a detecção de ameaças à rede, alertando ou enviando alertas ao SIEM, um sistema centralizado de gerenciamento de eventos de segurança. O SIEM acumula dados de várias fontes para ajudar os profissionais de segurança cibernética a identificar e responder às ameaças cibernéticas.

Os IDSs também podem garantir a conformidade com determinados requisitos. Por exemplo, a conformidade com o PCI-DSS exige a implementação de proteção antivírus e a proteção da rede e das informações armazenadas e transmitidas do titular do cartão.

No entanto, um IDS não pode lidar com ameaças à segurança por si só e geralmente é integrado a um IPS, um sistema de prevenção de intrusões que pode detectar e evitar ameaças à segurança automaticamente.

Como funcionam os sistemas de detecção de intrusão

Os IDSs são implementados como aplicativos de software instalados em endpoints ou dispositivos de hardware dedicados conectados a uma rede. Algumas soluções de IDS estão disponíveis como serviços baseados em nuvem. Independentemente do tipo de implementação, o IDS utiliza um ou dois métodos principais de detecção de ameaças: baseado em assinatura ou baseado em anomalia.

Detecção baseada em assinatura

Esse método analisa os pacotes de rede em busca de assinaturas de ataque – características exclusivas associadas a uma determinada ameaça. O IDS mantém um banco de dados de assinaturas de vírus já conhecidos com os quais compara os pacotes de rede. Se parte do código do pacote corresponder ao código do vírus no banco de dados, o IDS o detectará.

Para permanecerem eficazes, os bancos de dados de assinaturas devem ser atualizados regularmente com informações sobre novos vírus. Um vírus novo e não analisado pode contornar um IDS criado com esse método.

Detecção baseada em anomalias

Esse método usa o aprendizado de máquina para criar e melhorar continuamente um modelo subjacente da atividade normal da rede. A atividade atual da rede é comparada ao modelo para identificar eventos ou tendências suspeitas.

Como um sistema IDS baseado em anomalia informa qualquer comportamento anormal, ele é capaz de detectar novos tipos de ataques cibernéticos não detectados pelo método baseado em assinatura. Por exemplo, os IDSs baseados em anomalias podem detectar exploits de dia zero – ataques que exploram vulnerabilidades de software antes que o desenvolvedor do software as encontre e tenha tempo de corrigi-las.

Por outro lado, os IDSs baseados em anomalias são propensos a falsos positivos. Até mesmo ações inócuas, como um usuário autorizado que acessa um compartilhamento de rede corporativa pela primeira vez, podem tornar um IDS suspeito.

Métodos de detecção menos comuns

Detecção baseada em reputação bloqueia o tráfego de endereços IP e domínios associados a atividades mal-intencionadas ou suspeitas.

A análise de protocolo com estado concentra-se no comportamento do protocolo – por exemplo, ela pode detectar um ataque DDoS detectando um endereço IP que faz várias solicitações de conexão TCP simultâneas em um curto período de tempo.

Seja qual for o método ou métodos usados pelo IDS, quando ele detecta uma possível ameaça ou violação de política, ele alerta a equipe de resposta a incidentes. O IDS também controla os incidentes de segurança em seus próprios logs ou registrando-os no SIEM. Os registros de incidentes são usados para refinar os critérios do IDS, por exemplo, adicionando novas assinaturas de ataque ou atualizando o modelo de comportamento da rede.

Tipos de sistemas de prevenção de intrusões

Os IDSs são categorizados com base no local em que estão localizados no sistema e no tipo de atividade que monitoram.

NIDS

Sistema de detecção de intrusão de rede – o NIDS monitora o tráfego de entrada e saída dos dispositivos de rede. O NIDS é colocado em pontos importantes da rede, geralmente logo atrás dos firewalls. O NIDS também pode ser colocado dentro da rede para detectar ameaças internas ou hackers que obtêm acesso a contas de usuários. Por exemplo, um NIDS pode ser colocado atrás de cada firewall interno em uma rede segmentada para monitorar o tráfego que trafega entre as sub-redes.

Para não impedir o fluxo de tráfego legítimo, o NIDS geralmente é colocado “fora de banda”, o que significa que o tráfego não passa por ele. Assim, o NIDS analisa cópias de pacotes de rede em vez de analisar os próprios pacotes, o que não o impede de detectar tráfego mal-intencionado.

HIDS

Sistema de detecção de intrusão de host – o HIDS é instalado em um endpoint específico, como um laptop, roteador ou servidor. O HIDS monitora apenas o tráfego de entrada e saída no dispositivo em que está instalado. Normalmente, o HIDS cria regularmente instantâneos de arquivos críticos do sistema operacional e os compara entre si. Se o HIDS detectar uma alteração, como edições de arquivos de log ou alterações de configuração, ele alertará a equipe de segurança.

As equipes de segurança geralmente combinam os sistemas NIDS e HIDS. O NIDS analisa o tráfego em geral, enquanto o HIDS oferece proteção adicional para ativos valiosos. O HIDS também pode ajudar a detectar atividades mal-intencionadas de um host de rede comprometido, como um programa de ransomware que se espalha a partir de um dispositivo infectado.

Embora o NIDS e o HIDS sejam os mais comuns, as equipes de segurança também podem utilizar outros IDSs.

IDS baseado em protocolo – O PIDS monitora os protocolos de conexões entre servidores e dispositivos. O PIDS geralmente é colocado em servidores da Web para monitorar conexões HTTP ou HTTPS.

IDS baseado em protocolo de aplicativo – O APIDS opera na camada de aplicativo. O APIDS é normalmente implantado entre um servidor da Web e um banco de dados SQL para detectar injeção de SQL.

Maneiras de burlar o IDS

As táticas comuns de evasão de IDS incluem ataques DDoS, spoofing, fragmentação e criptografia.

Os ataques DDoS desativam um IDS inundando-o com tráfego mal-intencionado de várias fontes. Quando os recursos do IDS são sobrecarregados por ameaças falsas, os hackers se infiltram.

Spoofing – Falsificação de endereços IP e registros DNS para criar a ilusão de que o tráfego está vindo de uma fonte confiável.

Fragmentação – divisão de malware ou outros dados maliciosos em pequenos pacotes que ocultam a assinatura e evitam a detecção. Ao atrasar os pacotes ou enviá-los fora de ordem, os hackers podem impedir que o IDS os remonte e detecte o ataque.

Criptografia – uso de protocolos criptografados para contornar o IDS, com a expectativa de que o IDS não tenha a chave de descriptografia correspondente.

IDS e outras soluções de segurança

O IDS não é uma solução autônoma, mas parte de um sistema holístico de segurança da informação. Geralmente, ele é integrado ao SIEM, ao IPS e aos firewalls.

IDS e SIEM

Os alertas de IDS geralmente são encaminhados para o sistema SIEM. A integração do IDS com o SIEM permite que as equipes de segurança vinculem os alertas à análise de ameaças do IDS e aos dados de outras ferramentas, filtrem alarmes falsos e priorizem a correção de incidentes.

IDS e IPS

O IPS, assim como o IDS, monitora o tráfego de rede em busca de atividades suspeitas e intercepta ameaças em tempo real, interrompendo automaticamente as conexões ou acionando outras ferramentas de segurança.

O IDS e o IPS podem ser implementados como soluções separadas ou combinados em um único sistema de detecção e prevenção de intrusões (IDPS). Ele detecta e registra intrusões, alerta os serviços de segurança e responde automaticamente a incidentes.

IDS e firewalls

Os firewalls atuam como barreiras usando conjuntos de regras predefinidos para permitir ou negar o tráfego. Os IDSs geralmente ficam ao lado dos firewalls e ajudam a interceptar o tráfego mal-intencionado. E alguns firewalls já têm recursos de IDS e IPS incorporados.

Votação:
5 fora de 5
Classificação média : 5
Avaliado por: 1
Processamento de Big Data no QoE Stor (English) Why Internet provider needs analytics and statistics
(English) We use cookies to optimize site functionality and give you the best possible experience. To learn more about the cookies we use, please visit our Cookies Policy. By clicking ‘Okay’, you agree to our use of cookies. Learn more.