A principal diferença entre os sistemas de detecção de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) é que IDS são sistemas de monitorização e IPS são sistemas de controlo. O IDS não altera o tráfego de rede enquanto o IPS impede a entrega de pacotes com base no conteúdo do pacote, semelhante à forma como um firewall impede o tráfego por endereço IP.
IDS são usados para monitorar redes e enviar alertas quando uma atividade suspeita em um sistema ou rede é detectada enquanto um IPS reage a ataques cibernéticos em tempo real com o objetivo de evitar que eles alcancem sistemas e redes alvo.
Em suma, IDS e IPS têm a capacidade de detectar assinaturas de ataque, sendo a principal diferença sua resposta ao ataque. Entretanto, é importante notar que tanto o IDS quanto o IPS podem implementar os mesmos métodos de monitoramento e detecção.
Neste artigo, delineamos as características de uma intrusão, os vários vetores de ataque que os cibercriminosos podem usar para comprometer a segurança da rede, a definição de IDS/IPS, e como eles podem proteger sua rede e melhorar a segurança cibernética.
- O que é uma intrusão de rede?
- O que é um sistema de detecção de intrusão (IDS)?
- Como funciona um sistema de detecção de intrusões (IDS)?
- Quais são os diferentes tipos de sistemas de detecção de intrusão (IDS)?
- O que é um sistema de prevenção de intrusão (IPS)?
- Como funciona um sistema de prevenção de intrusão (IPS)?
- Quais são os diferentes tipos de sistemas de prevenção de intrusão (IPS)?
- Quais são as limitações dos sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS)?
- Quais são as diferenças entre sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS)?
- Can IDS e IPS funcionam em conjunto?
- Como os sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) são diferentes dos firewalls?
- Por que IDS e IPS são importantes?
- Como UpGuard pode complementar a tecnologia IDS e IPS
O que é uma intrusão de rede?
Uma intrusão de rede é qualquer atividade não autorizada em uma rede de computadores. Detectar uma intrusão depende de ter um entendimento claro da atividade da rede e das ameaças comuns à segurança. Um sistema de detecção de intrusão de rede e um sistema de prevenção de intrusão de rede devidamente projetado e implantado pode ajudar a bloquear intrusos que visam roubar dados sensíveis, causar violações de dados e instalar malware.
As redes e os pontos terminais podem ser vulneráveis a intrusões de agentes de ameaça que podem ser localizados em qualquer lugar do mundo e procurar explorar sua superfície de ataque.
Vulnerabilidades comuns de rede incluem:
- Malware: Malware, ou software malicioso, é qualquer programa ou arquivo que seja prejudicial a um usuário de computador. Os tipos de malware incluem vírus de computador, worms, cavalos de Tróia, spyware, adware e ransomware. Leia o nosso post completo sobre malware aqui.
- Ataques de engenharia social: A engenharia social é um vector de ataque que explora a psicologia humana e a susceptibilidade de manipular as vítimas para divulgar informações confidenciais e dados sensíveis ou realizar uma acção que quebra os padrões de segurança habituais. Exemplos comuns de engenharia social incluem phishing, spear phishing, e ataques de baleias. Leia nosso post completo sobre engenharia social aqui.
- Software e hardware desatualizado ou sem atualização: Software e hardware desatualizado ou sem atualização podem ter vulnerabilidades conhecidas como as listadas no CVE. Uma vulnerabilidade é um ponto fraco que pode ser explorado por um ataque cibernético para obter acesso não autorizado ou executar ações não autorizadas em um sistema de computador. Vulnerabilidades Wormable como a que levou ao WannaCryransomware são particularmente de alto risco. Leia o nosso post completo sobre vulnerabilidades para mais informações.
- Dispositivos de armazenamento de dados: Dispositivos de armazenamento portáteis como USB e discos rígidos externos podem introduzir malware na sua rede.
O que é um sistema de detecção de intrusão (IDS)?
Um sistema de detecção de intrusão (IDS) é um dispositivo ou aplicativo de software que monitora uma rede ou sistema para atividades maliciosas e violações de políticas. Qualquer tráfego malicioso ou violação é tipicamente reportado a um administrador ou coletado centralmente usando um sistema de gerenciamento de informações e eventos de segurança (SIEM).
Como funciona um sistema de detecção de intrusões (IDS)?
Existem três variantes de detecção comuns que o IDS emprega para monitorar intrusões:
- Detecção baseada em assinatura: Detecta ataques através da procura de padrões específicos, tais como seqüências de bytes no tráfego de rede ou assinaturas de uso (seqüências de instruções maliciosas conhecidas) utilizadas por malware. Esta terminologia tem origem em software antivírus que se refere a estes padrões como assinaturas. Enquanto o IDS baseado em assinaturas pode facilmente detectar ciberataques conhecidos, eles lutam para detectar novos ataques onde nenhum padrão está disponível.
- Detecção baseada em anomalias: Um sistema de detecção de intrusão para detectar intrusões na rede e no computador e uso indevido, monitorando a atividade do sistema e classificando-o como normal ou anômalo. Este tipo de sistema de segurança foi desenvolvido para detectar ataques desconhecidos, em parte devido ao rápido desenvolvimento de malware. A abordagem básica é usar a aprendizagem da máquina para criar um modelo de actividade de confiança e comparar novos comportamentos com o modelo. Uma vez que estes modelos podem ser treinados de acordo com configurações específicas de aplicações e hardware, eles têm propriedades mais generalizadas quando comparados ao IDS tradicional baseado em assinatura. No entanto, eles também sofrem de mais falsos positivos.
- Detecção baseada em reputação: Reconhece as potenciais ameaças cibernéticas de acordo com as pontuações de reputação.
Quais são os diferentes tipos de sistemas de detecção de intrusão (IDS)?
Sistemas IDS podem variar em escopo de um único computador a grandes redes e são geralmente classificados em dois tipos:
- Sistema de detecção de intrusão de rede (NIDS): Um sistema que analisa o tráfego de entrada da rede. Os NIDS são colocados em pontos estratégicos dentro das redes para monitorar o tráfego de e para os dispositivos. Ele realiza uma análise de passagem de tráfego em toda a subrede e combina o tráfego que é passado nas subredes com uma biblioteca de ataques conhecidos. Quando um ataque é identificado, um alerta pode ser enviado a um administrador.
- Sistema de detecção de intrusão baseado em hosts (HIDS): Um sistema que executa e monitora arquivos importantes do sistema operacional em hosts ou dispositivos individuais. Um HIDS monitora os pacotes de entrada e saída do dispositivo e alerta o usuário ou administrador se for detectada uma atividade suspeita. Ele tira um instantâneo dos arquivos de sistema existentes e os compara com instantâneos anteriores caso arquivos críticos tenham sido modificados ou apagados, um alerta é levantado.
O que é um sistema de prevenção de intrusão (IPS)?
Um sistema de prevenção de intrusão (IPS) ou sistemas de detecção e prevenção de intrusão (IDPS) são aplicativos de segurança de rede que se concentram em identificar possíveis atividades maliciosas, registrar informações, relatar tentativas e tentar evitá-las. Os sistemas IPS muitas vezes ficam diretamente atrás do firewall.
Para fazer parar os ataques, um IPS pode mudar o ambiente de segurança, reconfigurando um firewall, ou alterando o conteúdo do ataque.
Muitos consideram os sistemas de prevenção de intrusão como extensões de sistemas de detecção de intrusão, pois ambos monitoram o tráfego de rede e/ou atividades do sistema para atividades maliciosas.
Como funciona um sistema de prevenção de intrusão (IPS)?
Sistemas de prevenção de intrusão (IPS) funcionam através da varredura de todo o tráfego da rede através de um ou mais dos seguintes métodos de detecção:
- Detecção baseada em assinaturas: O IPS baseado em assinaturas monitora os pacotes em uma rede e se compara com padrões de ataque pré-configurados e pré-determinados conhecidos como assinaturas.
- Detecção baseada em anomalias estatísticas: Um IPS que é baseado em anomalias monitora o tráfego da rede e o compara com uma linha de base estabelecida. Esta linha de base é usada para identificar o que é “normal” em uma rede, por exemplo, quanta largura de banda é usada e quais protocolos são usados. Embora este tipo de detecção de anomalias seja bom para identificar novas ameaças, ele também pode gerar falsos positivos quando os usos legítimos da largura de banda excedem uma linha de base ou quando as linhas de base estão mal configuradas.
- Detecção de análise de protocolos estatais: Este método identifica desvios nos estados do protocolo comparando eventos observados com perfis pré-determinados de definições geralmente aceites de actividade benigna.
Após detectado, um IPS realiza uma inspeção de pacotes em tempo real em cada pacote que viaja pela rede e, se considerado suspeito, o IPS realizará uma das seguintes ações:
- Terminar a sessão TCP que foi explorada
- Bloquear o endereço IP ou conta de usuário ofensivo de acessar qualquer aplicação, host ou recurso da rede
- Reprogramar ou reconfigurar o firewall para evitar que um ataque similar ocorra em uma data posterior
- Remover ou substituir o conteúdo malicioso que permanece após um ataque, reembalando a carga útil, removendo informações de cabeçalho, ou destruindo arquivos infectados
Quando implantado corretamente, isto permite que um IPS evite danos severos causados por pacotes maliciosos ou indesejados e uma série de outras ameaças cibernéticas, inclusive:
- Negação de serviço distribuída (DDOS)
- Exploits
- Vermes de computador
- Vírus
- Ataques de força bruta
Quais são os diferentes tipos de sistemas de prevenção de intrusão (IPS)?
Os sistemas de prevenção de intrusão são geralmente classificados em quatro tipos:
- Sistema de prevenção de intrusão baseado em rede (NIPS): NIPS detecta e previne atividades maliciosas ou suspeitas através da análise de pacotes em toda a rede. Uma vez instalado, o NIPS coleta informações do host e da rede para identificar hosts, aplicativos e sistemas operacionais permitidos na rede. Eles também registram informações sobre o tráfego normal para identificar mudanças a partir da linha de base. Eles podem prevenir ataques enviando uma conexão TCP, limitando o uso da largura de banda ou rejeitando pacotes. Embora úteis, eles normalmente não podem analisar o tráfego de rede criptografado, lidar com cargas de tráfego altas ou lidar com ataques diretos contra eles.
- Sistema de prevenção de intrusão sem fio (WIPS): O WIPS monitoriza o espectro de rádio para detectar a presença de pontos de acesso não autorizados e toma automaticamente contramedidas para os remover. Estes sistemas são tipicamente implementados como uma sobreposição a uma infra-estrutura LAN sem fio existente, embora possam ser implantados de forma autônoma para impor políticas sem fio dentro de uma organização. Algumas infraestruturas sem fio avançadas têm recursos WIPS integrados. Os seguintes tipos de ameaças podem ser evitados por um bom WIPS: pontos de acesso desonestos, pontos de acesso mal configurados, ataques man-in-the-middle, spoofing MAC, honeypot e ataques de negação de serviço.
- Análise de comportamento de rede (NBA): Este tipo de sistema de prevenção de intrusão baseia-se na detecção baseada em anomalias e procura desvios do que é considerado comportamento normal em um sistema ou rede. Isto significa que é necessário um período de treinamento para traçar o perfil do que é considerado normal. Uma vez terminado o período de treinamento, as inconsistências são sinalizadas como maliciosas. Embora isto seja bom para detectar novas ameaças, podem surgir problemas se a rede foi comprometida durante o período de treinamento, pois o comportamento malicioso pode ser considerado normal. Além disso, estas ferramentas de segurança podem produzir falsos positivos.
- Sistema de prevenção de intrusão baseado em host (HIPS): Um sistema ou programa empregado para proteger sistemas informáticos críticos. HIPS analisa a atividade em um único host para detectar e prevenir atividade maliciosa, principalmente através da análise do comportamento do código. Eles são frequentemente elogiados por serem capazes de prevenir ataques que utilizam criptografia. A HIPS também pode ser usada para evitar que informações sensíveis como informações pessoalmente identificáveis (PII) ou informações de saúde protegidas (PHI) sejam extraídas do host. Como os HIPS vivem em uma única máquina, eles são melhor usados juntamente com IDS e IPS baseados em rede, assim como IPS.
Quais são as limitações dos sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS)?
As limitações do IDS e IPS incluem:
- Ruído: Pacotes ruins gerados a partir de bugs, dados DNS corrompidos e pacotes locais que escapam podem limitar a eficácia dos sistemas de detecção de intrusão e causar uma alta taxa de falsos alarmes.
- Falsos positivos: Não é raro que o número de ataques reais seja anulado pelo número de falsos alarmes. Isto pode fazer com que ataques reais sejam perdidos ou ignorados.
- Bases de dados de assinaturas desatualizadas: Muitos ataques exploram vulnerabilidades conhecidas, o que significa que a biblioteca de assinaturas precisa de se manter actualizada para ser eficaz. Bases de dados de assinaturas desatualizadas podem deixá-lo vulnerável a novas estratégias.
- O atraso entre a descoberta e a aplicação: Para a detecção baseada em assinaturas, pode haver um atraso entre a descoberta de um novo tipo de ataque e a assinatura sendo adicionada ao banco de dados de assinaturas. Durante este tempo, o IDS não será capaz de identificar o ataque.
- Proteção limitada contra identificação ou autenticação fraca: Se um atacante ganhar acesso devido a uma segurança de senha fraca, então um IDS pode não ser capaz de impedir o adversário de qualquer negligência.
- Falta de processamento de pacotes criptografados: A maioria do IDS não processa pacotes criptografados, o que significa que eles podem ser usados para intrusão em uma rede e podem não ser descobertos.
- Confiança no atributo IP: Muitos IDS fornecem informações baseadas no endereço de rede que está associado ao pacote IP enviado para a rede. Isto é benéfico se o pacote IP for preciso, mas pode ser falsificado ou codificado. Veja nosso post sobre as limitações da atribuição de IP para mais informações.
- Susceptível aos mesmos ataques baseados no protocolo contra os quais eles são projetados para proteger: Devido à natureza dos NIDS e à necessidade de analisar os protocolos que eles capturam, podem ser vulneráveis a certos tipos de ataques. Por exemplo, dados inválidos e ataques de pilha TCP/IP podem causar o colapso dos DNIs.
Quais são as diferenças entre sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS)?
A principal diferença é que um IDS é um sistema de monitorização e um IPS é um sistema de controlo. Tanto o IDS/IPS lê pacotes de rede e compara seu conteúdo com uma base de dados de ameaças conhecidas ou atividade de base. No entanto, o IDS não altera os pacotes de rede enquanto o IPS pode impedir que os pacotes sejam entregues com base no seu conteúdo, muito como um firewall faz com um endereço IP:
- Sistemas de detecção de intrusão (IDS): Analisar e monitorar o tráfego para indicadores de comprometimento que possam indicar uma intrusão ou roubo de dados. O IDS compara a atividade atual da rede contra ameaças conhecidas, violações da política de segurança e varredura de portas abertas. O IDS exige que os humanos ou outro sistema analisem os resultados e determinem como responder, tornando-os melhores como ferramentas forenses digitais post-mortem. Além disso, o IDS não está em linha, portanto o tráfego não precisa fluir através dele.
- Sistemas de prevenção de intrusão (IPS): Os IPS também têm capacidades de detecção, mas negarão proactivamente o tráfego de rede se acreditarem que representa uma ameaça de segurança conhecida.
Can IDS e IPS funcionam em conjunto?
Sim IDS e IPS funcionam em conjunto. Muitos vendedores modernos combinam IDS e IPS com firewalls. Este tipo de tecnologia é chamado de Next-Generation Firewall (NGFW) ou Gestão Unificada de Ameaças (UTM).
Como os sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) são diferentes dos firewalls?
Os firewalls de rede tradicionais usam um conjunto de regras estáticas para permitir ou negar conexões de rede. Isto pode prevenir intrusões, assumindo que as regras apropriadas tenham sido definidas. Essencialmente, os firewalls são projetados para limitar o acesso entre redes para evitar intrusões, mas não impedem ataques de dentro de uma rede.
IDS e IPS enviam alertas quando suspeitam de intrusão e também monitoram ataques a partir de dentro de uma rede. Note que as firewalls de próxima geração geralmente combinam a tecnologia tradicional de firewall com inspeção profunda de pacotes, IDS e IPS.
Por que IDS e IPS são importantes?
As equipes de segurança enfrentam uma lista sempre crescente de preocupações de segurança, desde ramos de dados e vazamentos de dados até multas de conformidade, enquanto ainda são constrangidas por orçamentos e políticas corporativas. A tecnologia IDS e IPS pode ajudar a cobrir partes específicas e importantes do seu programa de gerenciamento de segurança:
- Automação: Uma vez configurados, o IDS e o IPS são geralmente desligados, o que significa que são uma ótima maneira de melhorar a segurança da rede sem a necessidade de pessoas adicionais.
- Conformidade: Muitos regulamentos exigem que você prove que investiu em tecnologia para proteger dados sensíveis. A implementação de um IDS ou IPS pode ajudá-lo a lidar com uma série de controles do CIS. Mais importante, eles podem ajudar a proteger você e os dados mais sensíveis dos seus clientes e melhorar a segurança dos dados.
- Aplicação de políticas: IDS e IPS são configuráveis para ajudá-lo a reforçar as suas políticas de segurança de informação a nível da rede. Por exemplo, se você suporta apenas um sistema operacional, você pode usar um IPS para bloquear tráfego vindo de outros.
Como UpGuard pode complementar a tecnologia IDS e IPS
Empresas como Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar, e NASA usam as classificações de segurança do UpGuard para proteger seus dados, prevenir violações de dados e avaliar suas operações de segurança.
Para a avaliação dos seus controlos de segurança da informação, o UpGuard BreachSight pode monitorizar a sua organização para mais de 70 controlos de segurança proporcionando uma classificação de segurança cibernética simples e fácil de compreender e detectar automaticamente as credenciais e exposições de dados em baldes S3, servidores Rsync, repos GitHub, e muito mais.
UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta avaliando controles de segurança de informação relacionados e de terceiros, automatizando questionários de fornecedores e fornecendo modelos de questionários de fornecedores.
Nós também podemos ajudá-lo a comparar instantaneamente seus fornecedores atuais e potenciais com o setor deles, para que você possa ver como eles se acumulam.
A maior diferença entre UpGuard e outros fornecedores de classificação de segurança é que há uma evidência muito pública de nossa experiência na prevenção de violações e vazamentos de dados.
Nossa experiência tem sido apresentada no The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters e TechCrunch.
Você pode ler mais sobre o que nossos clientes estão dizendo nas análises do Gartner.
Se você gostaria de ver a classificação de segurança de sua organização, clique aqui para solicitar sua classificação gratuita de segurança cibernética.
Passe um teste gratuito de 7 dias da plataforma UpGuard hoje.