IDS e IPS: detecção e bloqueio de ameaças!

O que é IDS e IPS?

O IDS(Intrusion Detection System) e o IPS (Intrusion Prevention System), traduzindo, significam Sistema de Detecção de Intrusão e Sistema de Prevenção de Intrusão respectivamente.

São recursos que examinam o tráfego na rede, para detectar e prevenir os acessos não autorizados na mesma, protegendo-a da exploração das vulnerabilidades.

IDS e IPS são tecnologias que fazem parte da segurança da informação, desenvolvidas para agregar a frente da proteção de dados, uma necessidade urgente para as empresas. Afinal, os ataques estão ocorrendo com muita força e em grandes proporções.

Em 2021 o número de ataques foi alarmante e a projeção é que os custos globais do cibercrime crescerão 15% ao ano nos próximos cinco anos, chegando a US $10,5 trilhões anuais até 2025.

Esses dados reforçam: A segurança da informação é uma peça fundamental no ambiente empresarial.

Neste artigo você conhecerá o que é IDS/IPS, como funciona, os tipos existentes, e a sua importância para a cibersegurança de redes corporativas.

Conceito de IDS/IPS

Já abordamos o significado das siglas IDS e IPS, mas existem mais questões que precisam ser compreendidas a respeito dos recursos.

Basicamente, ambos são partes da infraestrutura de rede. Eles comparam pacotes da rede em um banco de dados de ameaças cibernéticas (que contém assinaturas conhecidas), e sinalizam todos os pacotes correspondentes.

A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle de intrusão, que impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP.

Como os sistemas IDS e IPS funcionam?

No caso do IDS, o gerenciador de análise é o cérebro do sistema. Ele consulta através de regras preestabelecidas o gerenciador de pacotes para efetuar uma eventual análise.

Se houver um pacote a ser analisado, o gerenciador de análise compara o pacote com as assinaturas requeridas ao gerenciador de assinaturas.

Caso haja confirmação das características do pacote serem descritas por alguma assinatura, o gerenciador de análise aciona o gerenciador de medidas de defesa para que seja combatida a ameaça detectada.

Para simplificar, imagine a seguinte situação: uma casa possui uma câmera para garantir a segurança dessa residência. A câmera registra todos os que entram e saem da residência.

Caso alguma coisa aconteça, será possível examinar o vídeo e descobrir o que houve e, mais importante, quem foi o responsável. Apesar de muito útil para solucionar crimes, a câmera por si só não os evita.

É assim que funcionam os sistemas de IDS. Eles analisam os registros de acesso à internet, procurando falhas que possam indicar uma invasão à rede, e sinalizam isso para que o administrador da rede possa agir ou entender o que está acontecendo.

O IPS é um complemento do IDS. Ele acrescenta à detecção de ataques a possibilidade de prevenção. Ambos IDS e IPS necessitam de uma base de dados de assinaturas conhecidas para realizarem a comparação com possíveis ataques.

No entanto, o IDS se restringe a detectar tentativas de intrusão, registrá-las e enviá-las ao administrador da rede. O IPS opera “inline” na rede, adotando medidas adicionais para bloquear as intrusões em tempo real.

Adicione ao contexto que imaginamos, agora, uma vigilância 24h e uma patrulha. Com a vigilância não é necessário esperar que algo aconteça para que a câmera seja útil.

Os problemas podem ser evitados, pois, com a vigilância, se alguém estiver rondando a porta, a patrulha será acionada e questionará o invasor em potencial antes que o problema aconteça.

Essa é a função do IPS. Com respaldo na análise feita pelo IDS, ele reprograma o firewall automaticamente e bloqueia o endereço IP do invasor, enquanto ele ainda estiver preparando o ataque, antes que ele ocorra.

Acesse nosso webinar completo sobre a operação do IDS e IPS:

[Starti Tech #4] Identificação e controle de intrusões: Como proteger a rede de invasores?

Todos os dias, empresas são alvos de inúmeras tentativas de invasões e ataques cibernéticos. Só em 2020, houve um crescimento de 860% de tentativas de invasões, segundo os dados da TI Safe. Ações de prevenção e cuidado contra essas ameaças são essenciais. Por isso, no Starti Tech de abril você vai …

Tipos de IDS/IPS

Agora que você já entendeu como funciona o IDS/IPS, é importante que você conheça alguns tipos e suas diferenças:

Tipos de IDS

Sistemas de Detecção de Intrusão Baseado em Host (HIDS)

No caso desse sistema, o IDS encontra-se instalado em cada máquina monitorada, para analisar os eventos gravados nos arquivos de log, ou pelos agentes de auditoria. Funciona como última linha de defesa, no caso do ataque ter sido bem-sucedido e ter conseguido atravessar o firewall e o NIDS.

Com o  HIDS é possível detectar as seguintes situações:

• Uso não correto e exagerado da memória;
• Processos cujo comportamento é suspeito Conexões suspeitas na rede;
• Utilização da CPU Utilização de System Calls;
• Uso detalhado do disco.

Sistemas de Detecção de Intrusão Baseado em Rede (NIDS)

Ao invés de monitorar um único computador, o NIDS monitora a rede como um todo. Ele monitora o tráfego do segmento de rede no qual está inserido, com sua interface de rede atuando em modo indecoroso.

A detecção é feita através da captura e análise dos cabeçalhos e conteúdos dos pacotes, os quais são comparados com padrões ou assinaturas estabelecidas, sendo um mecanismo eficaz contra os ataques como: port scanning, IP spoofing, SYN flooding.

O uso de múltiplos NIDS em uma rede garante uma forma de defesa abrangente. O sistema de detecção baseado em rede é constituído por dois componentes principais: os sensores e a estação de gerenciamento.

Os sensores são os dispositivos colocados em determinados pontos da rede, que realizam o monitoramento propriamente dito Já a estação de gerenciamento é responsável pelo gerenciamento remoto de todos os sensores.

O NIDS operando com essas particularidades consegue ter uma abrangência maior na detecção de intrusos, comparado ao HIDS.

Um grande ponto positivo é que o NIDS apresenta a propriedade de não ser visível ao atacante, fazendo com que o ataque seja efetuado sem cuidados.

Outras vantagens do NIDS são, segundo Carvalho (2005):  o desempenho da rede não é afetado; a detecção e identificação dos ataques é feita em tempo real, facilitando tomadas de decisões imediatas; eficácia na detecção de port scanning; não se restringe a somente detectar ataques, mas também às tentativas de ataque não concretizadas.

As desvantagens deste sistema são a dificuldade em monitorar dados cifrados, e, em redes saturadas, pode haver perdas de pacotes.

Tipos de IPS

Sistema de prevenção de intrusão baseado em host (HIPS)

Esse sistema funciona de modo semelhante ao HIDS. As verificações são em cima da máquina na qual se encontra instalado, porém, além de detectar o ataque, ele toma decisões a respeito das análises efetuadas.

Ele possui acesso direto ao sistema operacional da máquina e ao próprio kernel, podendo dessa forma controlar os acessos ao sistema de arquivos, configuração e registros do sistema.

Outro diferencial do HIPS é que ele identifica comportamentos suspeitos no sistema operacional, ao invés de comparar assinaturas.

Além disso, o HIPS traz a possibilidade de que o tráfego de rede criptografado seja identificado após o processo de descriptografia do pacote, possibilitando a detecção do ataque antes cifrado, fato que não ocorre no uso do NIPS e NIDS.

Sistema de prevenção de intrusão baseado em rede (NIPS)

Já esse tipo de sistema se baseia em um dispositivo inline, que pode ser um roteador ou um switch, pois eles repassam os pacotes entre as redes.

Sempre que um ataque é identificado, são tomadas decisões baseadas nas regras pré-definidas, e são essas regras que irão bloquear o ataque suspeito.

O NIPS apresenta a propriedade de efetuar drop na conexão, impedindo, dessa forma, que os pacotes cheguem ao seu destino, tal como os firewalls atuam.

IDS/IPS e Starti Security

Cuidar da proteção dos dados é uma ação que requer uma série de passos, agregando vários recursos. Falamos do IDS/IPS como uma ferramenta essencial para a segurança das informações, mas reforçamos a você que, ela não deve operar sozinha.

Basicamente, é necessário que outros recursos estejam presentes para garantir um ambiente empresarial mais seguro. Lembra do exemplo da casa?

Então, seguindo este raciocínio, não basta simplesmente ter câmeras na porta da casa e uma patrulha 24h, se não existir um portão. Se você quer garantir a segurança da sua casa, esse é um dos primeiros itens externos que você pensa, não é mesmo?

É exatamente aí que entra o firewall. O firewall oferece recursos que limitam o acesso às portas e janelas do computador, e, assim, impede a entrada de invasores. Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da rede de computadores.

Ele impede a entrada e saída de informações confidenciais, pois controla a transferência de dados do computador através da internet, prevenindo o envio de arquivos privados à rede.

A Starti Security Platform, nossa plataforma de cibersegurança, possui os recursos de IDS e IPS ativos no seu sistema operacional, agregando de maneira muito eficaz as funções do firewall e IDS/IPS, garantindo assim uma rede muito mais segura.

Clique no banner abaixo para conhecer mais sobre a solução.

Diante de tantas informações, acredito que já ficou claro para você como o IDS e IPS são ferramentas de enorme importância para a segurança das informações de sua empresa, não é mesmo?

E nós da Starti acreditamos que, além de conhecer as ferramentas de proteção, é necessário que você conheça as vulnerabilidades, os tipos de ataques e ações necessárias para cuidar da segurança da informação.

Acompanhe outros conteúdos em nossas plataformas: