Sistemas de Detecção de Intrusão (IDS): qual o mais indicado?

Tempo de leitura: 5 minutos
Sistemas de Detecção de Intrusão

Sumário

Quais soluções sua empresa busca para manter a segurança de rede e de toda a infraestrutura? Em meio às possibilidades, os Sistemas de Detecção de Intrusão (IDS) são alternativas relativamente mais novas que chegam para somar.

Com ataques cada vez mais refinados, as defesas também precisam estar mais bem preparadas para responder prontamente, inclusive na sua prevenção.

Os IDS existem para tornar a segurança de rede ainda mais robusta e manter infraestrutura de TI e dados protegidos. Saiba mais!

O que são Sistemas de Detecção de Intrusão

Os IDS são sistemas que permitem descobrir se alguém entrou ou está tentando entrar na rede de sua empresa.

Trata-se de uma tecnologia que detecta manipulações indesejadas de sistemas, comumente decorrentes da atuação de hackers por meio da internet.

Soluções assim são usadas para estar um passo à frente dos cibercriminosos e identificar sua tentativa de ataque antes que essa aconteça ou, ao menos, fazê-lo o mais cedo possível.

Por si só, os Sistemas de Detecção de Intrusão podem ser uma boa ferramenta, mas é aconselhável usá-lo em conjunto com um bom firewall corporativo e como ferramentas de análise de vulnerabilidades.

Principais tipos de IDS

Existem diferentes tipos de IDS. Embora o objetivo seja sempre o mesmo, a abordagem e atuação das soluções se dá de maneira diferente. Acompanhe:

Sistemas de Detecção de Intrusão baseado em rede

Um IDS baseado em rede faz a análise de pacotes de dados que trafegam pela rede, com base em examinações e comparações que permitem ao sistema entender se a natureza dos dados é maliciosa ou não.

Esse sistema usa técnicas como “packet-sniffing” para pegar dados dos protocolos TCP e IP, ou de outros protocolos que estejam passando pela rede, e analisá-los.

Isso torna o sistema de detecção de intrusão em rede uma solução interessante para identificar tentativas de acesso não autorizado de fora da rede confiável e Denial of Service.

Sistemas de Detecção de Intrusão baseado em host

Há outra opção, que se baseia em host, também conhecida como HIDS. É o caso do ProSec, um sistema exclusivo Prolinx.

A solução detecta ameaças que não são detectadas pelo IDS em rede porque analisa os dados originados nos computadores que hospedam um serviço e permitem que os dados sejam analisados localmente ou enviados a um device central de análise.

Por receber aplicações ou logs do sistema operacional, é bastante eficaz para identificar tentativas de abuso vindas de dentro e é rápido para detectar ações indevidas de um software, como modificações não autorizadas em arquivos.

Frente a isso, pode alterar as permissões de um arquivo ou enviá-lo para quarentena. Além disso, pode ser capaz de analisar dados criptografados, desde que esses dados sejam encriptados na estação de envio ou desencriptados no próprio host.

Tudo isso é fundamental para que uma eventual invasão comprometa o mínimo possível da infraestrutura e da rotina, afetando minimamente os negócios da organização.

Sistema de Detecção de Intrusão baseada em assinaturas

Já esse tipo de sistema de detecção de intrusão se baseia em um banco de dados com ataques já conhecidos e compara-os com novas ações para definir se são ou não maliciosas.

Uma assinatura é um padrão que serve de parâmetro para as buscas comparativas realizadas pelo sistema. Um exemplo é uma tentativa de conexão a um endereço de IP reservado ou um e-mail com um determinado vírus.

Esse IDS opera com base em algoritmos estatísticos e depende de um banco de dados com assinaturas que seja constantemente alimentado e atualizado.

Sua principal vantagem é a eficiência que, em contrapartida, só é alcançada quando a ameaça é conhecida e já faz parte do banco de dados.

Sistemas de Detecção de Intrusão baseada em anomalia

Por sua vez, um sistema de detecção baseado em anomalias são os que identificam comportamentos não usuais em uma rede ou host, considerando que um ataque difere daquilo que é usual.

Para tanto, o sistema define padrões com base no comportamento normal dos usuários, hosts e redes. Assim, fazem a análise de rede comparando cada ação para identificar eventuais anomalias.

O problema é que esse tipo de análise leva a muitos alarmes falsos e, assim, não é recomendável confiar apenas nessa solução.

Política para Sistemas de Detecção de Intrusão

Nem só de análises são feitos os Sistemas de Detecção de Intrusão. Como vimos, especialmente quando falamos da solução baseada em host, há sempre uma resposta.

Essa resposta pode ser um relato de ações identificadas em um local pré-determinado ou reações automáticas mais ativas.

Respostas ativas

As respostas ativas são ações automatizadas que decorrem da detecção de determinadas técnicas de intrusão. Existem três categorias para esse tipo de resposta:

  • Coleta de informações adicionais ― baseadas no aumento da sensibilidade do IDS, as informações adicionais são úteis para determinar o que o intruso fez e qual a origem do problema;
  • Mudança de ambiente ― consiste em uma tentativa de bloquear o ataque e outras tentativas que possam acontecer em sequência.

O sistema de detecção de intrusão não consegue bloquear o acesso específico, mas pode bloquear o endereço IP que indica a possível origem do ataque;

  • Atacar o invasor ― essa resposta leva ao lançamento de ataques contra a rede do invasor. Uma prática mais agressiva e não aconselhada, sobretudo porque pode ser ilegal.

Respostas passivas

Por respostas passivas, falamos do envio de informações sobre o ataque para o administrador da rede para que este defina e realize o bloqueio desses ataques.

Em geral, todos os sistemas de detecção de intrusão têm esse tipo de resposta que, por sua vez, se encaixam em duas categorias:

  • Alarmes e notificações ― alertas gerados pelo sistema e enviados ao administrador por meio de um banco de dados ou via e-mail;
  • Trap SNMP ou Armadilhas SNMP ― esse protocolo de comunicação está presente em alguns IDS para gerar alertas e relatá-los a sistemas de gerenciamento.

Sistemas de Detecção de Intrusão desempenham um importante papel na segurança

Um sistema de detecção de intrusão permite respostas rápidas às tentativas de invasão de rede e atuam como uma camada adicional de proteção de toda a infraestrutura de TI de uma empresa.

Com ataques cada vez mais refinados e agressivos, contar com um IDS ― e com ferramentas adicionais como o firewall e a análise de vulnerabilidades ― é “cobrir todas as bases”. 

Assim, uma organização pode evitar o comprometimento de dados sensíveis, que poderia resultar em prejuízo financeiro e de imagem, e das operações normais de sua rotina.

Quer elevar o nível de proteção da sua empresa? Conheça mais sobre o sistema de Gestão de Vulnerabilidades – ProSec, da Prolinx!

WhatsApp
LinkedIn
Facebook
Twitter