AllEasy

Conceitos de Segurança de TI

IDS e IPS: o que é a proteção contra tentativas de ataque?

IDS e IPS são sinônimos de proteção contra tentativas de ataque, mas você sabe como eles funcionam e para que servem? Descubra no texto!

Os ataques a empresas se tornaram mais evidentes com os incidentes de grandes proporções de 2017. Inclusive, uma pesquisa com empresários brasileiros mostrou que, para muitos deles, os ataques cibernéticos representam um perigo maior até mesmo do que fatores econômicos. Nesse contexto, uma proteção contra tentativas de ataque já é pauta urgente em qualquer negócio que queira manter a segurança das suas informações.

Sem tempo para ler? Clique no play abaixo para ouvir este conteúdo!

A proteção contra tentativas de ataque é comumente tratada por meio de duas siglas: IDS e IPS. Mas, afinal, o que significam esses dois temos e para que servem? Continue lendo para entender sobre eles.

O que é a proteção contra tentativas de ataque com IDS e IPS?

São hardwares ou softwares que se dedicam a identificar ou parar qualquer ataque que chegue à rede da empresa. É claro que a prevenção é importante e você deve contar com boas práticas para manter as ameaças o mais longe possível.

No entanto, até as soluções mais sofisticadas de proteção estão sujeitas a falhas e, eventualmente, pode ser que algum ataque consiga chegar ao seu ambiente. Nesses casos, é melhor estar protegido.

Quais são as diferenças entre IDS e IPS?

É difícil separar completamente esses dois termos e, inclusive, muitos fabricantes de tecnologia vendem soluções híbridas que contemplam os dois. Porém, existe um ponto em que eles se tornam menos semelhantes entre si.

O IDS (Instrusion Detection System) tem a função principal de identificar e servir como alerta, fornecendo dados sobre as atividades na rede ou em um dispositivo. Já o IPS (Intrusion Prevention System) tem a função principal de parar os ataques detectados.

O IDS geralmente não toma uma ação para parar o ataque. Ele pode emitir alertas para o administrador, levantar estatísticas e monitorar o tráfego. O resultado dele é uma visibilidade sobre as atividades na rede e nos dispositivos.

O IPS, por sua vez, tem função ativa na proteção contra tentativas de ataque. Ele analisa as movimentações na rede e, se detectar um evento suspeito, bloqueia a atividade. Ele é um aliado do firewall e até pode ser adquirido em uma solução chamada de Unified Threat Management (UTM) que é uma combinação de firewall, IPS e outras soluções de segurança.

Quais os tipos de IDS e IPS?

Existem duas formas de trabalhar com o IDS e IPS.

Network based: São oferecidos em appliances com esse fim específico, que podem ser instalados de forma transparente entre o roteador de borda e o firewall.

Host based: São instalados em um servidor ou computador e monitora as atividades neste host. Muitas vezes, ele é usado em um sistema chamado de Honeypot, em que o invasor é atraído para o host onde o IPS/IDS está instalado para que o administrador consiga monitorar e registrar as ações.

Quais são e como atuam as técnicas para detecção de cada um deles?

Os ataques podem acontecer de diversas formas e os sistemas de proteção contra tentativas de ataque também precisam ter técnicas de detecção variadas. Conheça algumas delas a seguir.

Detecção por assinatura

Cada ataque conhecido segue um padrão que é chamado de assinatura. O que esse tipo de detecção faz é procurar por essas assinaturas que correspondem a atividades maliciosas. A desvantagem aqui é que apenas os ataques já conhecidos podem ser detectados. Portanto, é necessário atualizar constantemente o sistema de detecção de ameaças para garantir sua eficácia.

Detecção por anomalias

Nessa técnica de detecção, o sistema de proteção contra tentativas de ataques monta um padrão que corresponde a atividades normais do usuário, do host ou da rede. Qualquer atividade fora desse padrão será considerada uma anomalia e identificada como possível tentativa de ataque. A desvantagem é que esse sistema pode gerar alarmes falsos.

Análise de protocolos

Faz uma comparação entre atividades de protocolo consideradas benignas em relação a eventos observados com o objetivo de identificar desvios. Ao contrário da detecção baseada em anomalia, que usa perfis específicos do host ou da rede, a análise de protocolo se baseia em perfis universais desenvolvidos pelo fornecedor que especificam como determinados protocolos devem e não devem ser usados.

Existem ainda outras técnicas que podem ser usadas. Por exemplo, uma forma comum de ataque é fazer uma varredura de portas para descobrir quais serviços podem se tornar um alvo. O IPS pode ser configurado para bloquear automaticamente esta atividade.

Como vimos, IDS e IPS são sistemas de proteção contra tentativas de ataque e servem para tornar seu sistema ainda mais protegido. Se qualquer ameaça conseguir burlar as demais técnicas de proteção, o IPS e o IDS estarão monitorando e agindo contra elas.

A sua empresa está segura?

Se quer acompanhar as novidades da All Easy, siga nossos perfis nas redes sociais: Twitter, Facebook, LinkedIn, Instagram, Google+ e YouTube.

Matérias relacionadas