A implementação de sistemas de detecção e prevenção de intrusões desempenha é de suma importância para proteção da de rede contra ataques cibernéticos. Dois desses sistemas, conhecidos como IDS (Intrusion Detection System) e IPS (Intrusion Prevention System), desempenham papéis distintos, embora relacionados, na defesa cibernética.
O IDS, ou Sistema de Detecção de Intrusões, atua como se fosse um observador vigilante na rede, monitorando continuamente o tráfego em busca de atividades suspeitas ou padrões de comportamento malicioso. Ele analisa pacotes de dados em tempo real, buscando por assinaturas conhecidas de ataques ou desvios dos padrões normais de tráfego. Por exemplo, um IDS pode detectar tentativas de acesso não autorizado, varreduras de portas ou atividades de malware.
Por outro lado, o IPS, ou Sistema de Prevenção de Intrusões, vai além da detecção e assume uma postura mais proativa na defesa da rede. Além de monitorar o tráfego em busca de ameaças, o IPS também tem a capacidade de agir imediatamente para bloquear ou neutralizar atividades maliciosas. Se um ataque for detectado, o IPS pode tomar medidas automáticas para bloquear o tráfego ofensivo, impedindo que ele alcance seu destino pretendido. Por exemplo, bloqueio de endereços IP, filtragem de pacotes ou até mesmo a aplicação de regras de firewall dinâmicas.
Para facilitar a diferença entre IDS e IPS, considere o seguinte cenário: um IDS detecta uma tentativa de invasão à rede, gerando um alerta para a equipe de segurança. Enquanto isso, um IPS, ao detectar a mesma atividade maliciosa, não apenas emite um alerta, mas também bloqueia imediatamente o tráfego originário do endereço IP suspeito, impedindo assim que o ataque tenha sucesso.
Algumas definições técnicas de IDS:
IDSs que detectam ataques capturando e analisando pacotes de rede. Escutando em um segmento ou switch de rede, um IDS baseado em rede pode monitorar o tráfego de rede que afeta vários hosts conectados ao segmento de rede. Fontes: CNSSI 4009-2015 sob sistemas de detecção de intrusão (IDS), (baseado em rede)
Software que automatiza o processo de detecção de intrusões. Fontes: CNSSI 4009-2015 do NIST SP 800-94 NIST SP 800-12 Rev. 1 sob Sistema de Detecção de Intrusão (IDS) do NIST SP 800-94
Um serviço de segurança que monitora e analisa eventos de rede ou sistema com a finalidade de encontrar e fornecer avisos em tempo real ou quase em tempo real sobre tentativas de acesso a recursos do sistema de maneira não autorizada. Fontes: NIST SP 800-82 Rev. 2 sob Sistema de Detecção de Intrusão (IDS) da RFC 4949
IDSs que operam com informações coletadas de um sistema de computador individual. Esse ponto de vista permite que IDSs baseados em host determinem exatamente quais processos e contas de usuário estão envolvidos em um ataque específico ao sistema operacional. Além disso, diferentemente dos IDS baseados em rede, os IDS baseados em host podem “ver” mais prontamente o resultado pretendido de uma tentativa de ataque, porque podem acessar e monitorar diretamente os arquivos de dados e processos do sistema normalmente alvo de ataques. Fontes: CNSSI 4009-2015 sob sistema de detecção de intrusão (IDS), (baseado em host)
Software que procura atividades suspeitas e alerta os administradores. Fontes: NISTIR 7711 sob Sistema de Detecção de Intrusão
Algumas definições técnicas de IPS:
Sistema que pode detectar uma atividade intrusiva e também tentar interromper a atividade, de preferência antes que ela atinja seus objetivos. Fontes: NISTIR 7711 sob Sistema de Prevenção de Intrusões.
Um sistema de prevenção de intrusões (IPS) é uma solução de segurança para detectar e interromper atividades potencialmente perigosas em uma rede de computadores ou dispositivo individual. Fontes: Kaspersky IT Encyclopedia.
Em resumo, os IDSs e IPSs são essenciais na defesa cibernética, detectando e respondendo a ameaças de forma proativa. A combinação de ambos em sistemas de detecção e prevenção de intrusões (IDPSs) oferece uma abordagem abrangente para proteger os ativos digitais das organizações contra ataques maliciosos.
