O que é um IDS?

Há muitos malwares circulando por aí na Internet. Felizmente, existem muitas medidas de proteção disponíveis. Alguns deles, como produtos antivírus, são projetados para serem executados por dispositivo e são ideais para indivíduos com um pequeno número de dispositivos. O software antivírus também é útil em grandes redes corporativas. Um dos problemas, no entanto, é simplesmente o número de dispositivos que possuem um software antivírus em execução que apenas relata na máquina. Uma rede corporativa realmente deseja que os relatórios de incidentes de antivírus sejam centralizados. O que é uma vantagem para usuários domésticos é um ponto fraco para redes corporativas.

Indo além do antivírus

Para levar as coisas adiante, é necessária uma abordagem diferente. Essa abordagem é chamada de IDS ou Sistema de Detecção de Intrusão. Existem muitas variações diferentes no IDS, muitas das quais podem se complementar. Por exemplo, um IDS pode ser encarregado de monitorar um dispositivo ou tráfego de rede. Um IDS de monitoramento de dispositivo é conhecido como HIDS ou sistema de detecção de intrusão baseado em host. Um IDS de monitoramento de rede é conhecido como NIDS ou Sistema de Detecção de Intrusão de Rede. Um HIDS é semelhante a um conjunto de antivírus, monitorando um dispositivo e reportando a um sistema centralizado.

Um NIDS geralmente é colocado em uma área de alto tráfego da rede. Freqüentemente, isso ocorre em um roteador de rede central/backbone ou no limite da rede e sua conexão com a Internet. Um NIDS pode ser configurado para ser inline ou em uma configuração de toque. Um NIDS em linha pode filtrar ativamente o tráfego com base nas detecções como um IPS (uma faceta à qual voltaremos mais tarde), no entanto, ele atua como um único ponto de falha. Uma configuração de tap basicamente espelha todo o tráfego de rede para o NIDS. Ele pode, então, executar suas funções de monitoramento sem atuar como um único ponto de falha.

Métodos de monitoramento

Um IDS geralmente usa uma variedade de métodos de detecção. A abordagem clássica é exatamente a que é usada em produtos antivírus; detecção baseada em assinatura. Nele, o IDS compara o software observado ou o tráfego de rede com uma enorme variedade de assinaturas de malware conhecido e tráfego de rede malicioso. Esta é uma maneira bem conhecida e geralmente bastante eficaz de combater ameaças conhecidas. O monitoramento baseado em assinatura, no entanto, não é uma bala de prata. O problema com as assinaturas é que você precisa primeiro detectar o malware para depois adicionar sua assinatura à lista de comparação. Isso o torna inútil na detecção de novos ataques e vulnerável a variações nas técnicas existentes.

O principal método alternativo que um IDS usa para identificação é o comportamento anômalo. A detecção baseada em anomalias toma uma linha de base do uso padrão e, em seguida, relata atividades incomuns. Esta pode ser uma ferramenta poderosa. Ele pode até destacar um risco de uma possível ameaça interna desonesta. O principal problema com isso é que ele precisa ser ajustado ao comportamento básico de cada sistema, o que significa que deve ser treinado. Isso significa que, se o sistema já estiver comprometido enquanto o IDS estiver sendo treinado, ele não verá a atividade maliciosa como incomum.

Um campo em desenvolvimento é o uso de Redes Neurais artificiais para realizar o processo de detecção baseado em anomalias. Este campo é promissor, mas ainda é bastante novo e provavelmente enfrenta desafios semelhantes às versões mais clássicas da detecção baseada em anomalias.

Centralização: Uma maldição ou uma benção?

Uma das principais características de um IDS é a centralização. Ele permite que uma equipe de segurança de rede colete atualizações de status da rede e do dispositivo ao vivo. Isso inclui muitas informações, a maioria das quais é “está tudo bem”. Para minimizar as chances de falsos negativos, ou seja, perda de atividade maliciosa, a maioria dos sistemas IDS são configurados para serem muito “twitchy”. Mesmo o menor indício de que algo está errado é relatado. Freqüentemente, esse relatório precisa ser triado por um humano. Se houver muitos falsos positivos, a equipe responsável pode ficar rapidamente sobrecarregada e esgotada. Para evitar isso, podem ser introduzidos filtros para reduzir a sensibilidade do IDS, mas isso aumenta o risco de falsos negativos. Adicionalmente,

A centralização do sistema também envolve a adição de um sistema SIEM complexo. SIEM significa sistema de gerenciamento de informações e eventos de segurança. Normalmente, envolve uma série de agentes de coleta em toda a rede coletando relatórios de dispositivos próximos. Esses agentes de cobrança então fornecem os relatórios de volta ao sistema de gerenciamento central. A introdução de um SIEM aumenta a superfície de ameaças à rede. Os sistemas de segurança geralmente são bem protegidos, mas isso não é uma garantia, e eles próprios podem ser vulneráveis ​​a infecções por malware que impedem que sejam relatados. Isso, no entanto, é sempre um risco para qualquer sistema de segurança.

Automatizando respostas com um IPS

Um IDS é basicamente um sistema de alerta. Ele procura atividades maliciosas e emite alertas para a equipe de monitoramento. Isso significa que tudo é examinado por um humano, mas há o risco de atrasos, especialmente no caso de uma explosão de atividade. Por exemplo. Imagine se um worm ransomware conseguir entrar na rede. Pode levar algum tempo para que os revisores humanos identifiquem um alerta de IDS como legítimo, ponto em que o worm pode ter se espalhado ainda mais.

Um IDS que automatiza o processo de atuação em alertas de alta certeza é chamado de IPS ou IDPS com o “P” significando “Proteção”. Um IPS realiza ações automatizadas para tentar minimizar o risco. Obviamente, com a alta taxa de falsos positivos de um IDS, você não deseja que um IPS atue em todos os alertas, apenas naqueles considerados de alta certeza.

Em um HIDS, um IPS atua como uma função de quarentena de software antivírus. Ele bloqueia automaticamente o malware suspeito e alerta a equipe de segurança para analisar o incidente. Em um NIDS, um IPS deve estar em linha. Isso significa que todo o tráfego precisa passar pelo IPS, tornando-o um ponto único de falha. Por outro lado, no entanto, ele pode remover ou descartar ativamente o tráfego de rede suspeito e alertar a equipe de segurança para revisar o incidente.

A principal vantagem de um IPS sobre um IDS puro é que ele pode responder automaticamente a muitas ameaças muito mais rapidamente do que poderia ser alcançado apenas com a revisão humana. Isso permite evitar coisas como eventos de exfiltração de dados enquanto eles estão acontecendo, em vez de apenas identificar que isso aconteceu após o fato.

Limitações

Um IDS tem várias limitações. A funcionalidade de detecção baseada em assinatura depende de assinaturas atualizadas, tornando-a menos eficaz na captura de novos malwares potencialmente mais perigosos. A taxa de falsos positivos geralmente é muito alta e pode haver grandes períodos de tempo entre problemas legítimos. Isso pode levar a equipe de segurança a se tornar insensível e blasé em relação aos alarmes. Essa atitude aumenta o risco de que eles categorizem erroneamente um raro verdadeiro positivo como um falso positivo.

As ferramentas de análise de tráfego de rede geralmente usam bibliotecas padrão para analisar o tráfego de rede. Se o tráfego for malicioso e explorar uma falha na biblioteca, pode ser possível infectar o próprio sistema IDS. Os NIDS em linha atuam como pontos únicos de falha. Eles precisam analisar um grande volume de tráfego muito rapidamente e, se não conseguirem acompanhá-lo, devem abandoná-lo, causando problemas de desempenho/estabilidade, ou deixá-lo passar, potencialmente deixando de lado atividades maliciosas.

O treinamento de um sistema baseado em anomalia exige que a rede seja segura em primeiro lugar. Se já houver malware se comunicando na rede, isso será incluído normalmente na linha de base e ignorado. Além disso, a linha de base pode ser expandida lentamente por um ator mal-intencionado simplesmente levando seu tempo para ultrapassar os limites, ampliando-os em vez de quebrá-los. Por fim, um IDS não pode, por conta própria, analisar o tráfego criptografado. Para poder fazer isso, a empresa precisaria Man in the Middle (MitM) o tráfego com um certificado raiz corporativo. No passado, isso introduziu seus próprios riscos. Com a porcentagem de tráfego de rede moderna que permanece sem criptografia, isso pode limitar um pouco a utilidade de um NIDS. Vale ressaltar que mesmo sem descriptografar o tráfego,

Conclusão

Um IDS é um sistema de detecção de intrusão. É basicamente uma versão ampliada de um produto antivírus projetado para uso em redes corporativas e apresentando relatórios centralizados por meio de um SIEM. Ele pode operar em dispositivos individuais e monitorar o tráfego de rede geral em variantes conhecidas como HIDS e NIDS, respectivamente. Um IDS sofre de taxas muito altas de falsos positivos em um esforço para evitar falsos negativos. Normalmente, os relatórios são triados por uma equipe de segurança humana. Algumas ações, quando a confiança na detecção é alta, podem ser automatizadas e sinalizadas para revisão. Tal sistema é conhecido como IPS ou IDPS.



Leave a Comment

Como clonar um disco rígido

Como clonar um disco rígido

Na era digital moderna, onde os dados são um bem valioso, a clonagem de um disco rígido no Windows pode ser um processo crucial para muitos. Este guia completo

Como consertar o driver WUDFRd que falhou ao carregar no Windows 10?

Como consertar o driver WUDFRd que falhou ao carregar no Windows 10?

Você está enfrentando a mensagem de erro ao inicializar o computador, informando que o driver WUDFRd falhou ao carregar no seu computador?

Como corrigir o código de erro NVIDIA GeForce Experience 0x0003

Como corrigir o código de erro NVIDIA GeForce Experience 0x0003

Você está enfrentando o código de erro 0x0003 da experiência NVIDIA GeForce em sua área de trabalho? Se sim, leia o blog para descobrir como corrigir esse erro de forma rápida e fácil.

Noções básicas de impressão 3D: adesão à base da impressora

Noções básicas de impressão 3D: adesão à base da impressora

Aprendendo sobre impressão 3D? Aqui está o que você precisa saber sobre a adesão da base da impressora.

Como remover uma GPU do Windows PC em 2023

Como remover uma GPU do Windows PC em 2023

Você precisa remover a GPU do seu PC? Junte-se a mim enquanto explico como remover uma GPU do seu PC neste guia passo a passo.

Como instalar um SSD NVMe em um desktop e laptop

Como instalar um SSD NVMe em um desktop e laptop

Comprou um novo SSD NVMe M.2, mas não sabe como instalar? Continue lendo para saber como instalar um SSD NVMe em um laptop ou desktop.

O que é uma bomba lógica?

O que é uma bomba lógica?

Uma bomba lógica é um incidente de segurança em que um invasor configura uma ação atrasada. Continue lendo para saber mais.

O que é Stuxnet?

O que é Stuxnet?

O Stuxnet era um worm autopropagado. Foi o primeiro uso de uma arma cibernética e a primeira ocorrência de malware.

O que é um hacker ético?

O que é um hacker ético?

Um hacker ético é um hacker que age dentro das restrições da lei. Continue lendo para saber mais sobre o assunto.

O que é criptografia simétrica?

O que é criptografia simétrica?

Existem muitas partes diferentes da criptografia. Se você deseja criptografar alguns dados, existem dois tipos de algoritmos que você pode usar: simétrico