Classificação dos sistemas de detecção de invasão
Os sistemas de detecção de invasão são projetados para serem implantados em diferentes ambientes. Como muitas soluções de cibersegurança, um IDS pode ser baseado em host ou em rede.
- IDS baseado em host (HIDS): um IDS baseado em host é implantado em um endpoint específico e projetado para protegê-lo contra ameaças internas e externas. Tal IDS pode ter a capacidade de monitorar o tráfego de rede de e para a máquina, observar processos em execução e inspecionar os logs do sistema. A visibilidade de um IDS baseado em host é limitada à sua máquina host, diminuindo o contexto disponível para a tomada de decisões, mas tem profunda visibilidade do interior do computador host.
- IDS baseado em rede (NIDS): uma solução IDS baseada em rede é projetada para monitorar toda uma rede protegida. Ele tem visibilidade de todo o tráfego que flui pela rede e faz determinações com base nos metadados e conteúdos dos pacotes. Este ponto de vista mais amplo proporciona mais contexto e a capacidade de detectar ameaças generalizadas; no entanto, esses sistemas não têm visibilidade do interior do endpoint que protegem.
Devido aos diferentes níveis de visibilidade, a implantação de um HIDS ou NIDS isoladamente fornece proteção incompleta ao sistema de uma organização. Uma solução unificada de gerenciamento de ameaças, que integra diversas tecnologias em um sistema, pode fornecer uma segurança mais abrangente.
Método de detecção de implantação de IDS
Além do local de implantação, as soluções de IDS também diferem na forma como identificam possíveis invasões:
- Detecção de assinatura: As soluções de IDS baseadas em assinatura usam impressões digitais de ameaças conhecidas para identificá-las. Depois que o malware ou outro conteúdo malicioso for identificado, uma assinatura será gerada e adicionada à lista usada pela solução IDS para testar o conteúdo recebido. Isso permite que um IDS alcance uma alta taxa de detecção de ameaças sem falsos positivos, porque todos os alertas são gerados com base na detecção de conteúdo malicioso conhecido. No entanto, um IDS baseado em assinatura está limitado à detecção de ameaças conhecidas e é cego à vulnerabilidade de dia zero.
- Detecção de anomalias: As soluções IDS baseadas em anomalias constroem um modelo do comportamento “normal” do sistema protegido. Todo o comportamento futuro é comparado a este modelo, e quaisquer anomalias são rotuladas como ameaças potenciais e geram alertas. Embora esta abordagem possa detectar ameaças novas ou de dia zero, a dificuldade de construir um modelo preciso de comportamento “normal” significa que estes sistemas devem equilibrar falsos positivos (alertas incorretos) com falsos negativos (detecções perdidas).
- Detecção Híbrida: Um IDS híbrido usa detecção baseada em assinatura e detecção baseada em anomalias. Isso permite detectar mais ataques potenciais com uma taxa de erro menor do que usar qualquer sistema isoladamente.
IDS vs Firewalls
Sistemas de detecção de intrusões e firewall são soluções de segurança cibernética que podem ser implantadas para proteger um endpoint ou rede. No entanto, eles diferem significativamente em seus propósitos.
Um IDS é um dispositivo de monitoramento passivo que detecta ameaças potenciais e gera alertas, permitindo que analistas do centro de operações de segurança (SOC) ou respondedores de incidentes investiguem e respondam ao incidente potencial. Um IDS não fornece proteção real ao endpoint ou à rede. Um firewall, por outro lado, foi projetado para atuar como um sistema de proteção. Realiza análise dos metadados dos pacotes de rede e permite ou bloqueia o tráfego com base em regras predefinidas. Isto cria um limite através do qual certos tipos de tráfego ou protocolos não podem passar.
Como um firewall é um dispositivo de proteção ativo, ele se parece mais com um Sistema de prevenção de intrusão (Intrusion Prevention System, IPS) (IPS) do que com um IDS. Um IPS é como um IDS, mas bloqueia ativamente as ameaças identificadas em vez de simplesmente emitir um alerta. Isso complementa a funcionalidade de um firewall, e muitos Firewall de próxima geração (NGFWs) possuem funcionalidade IDS/IPS integrada. Isso permite que eles apliquem as regras de filtragem predefinidas (firewall) e detectem e respondam a ameaças cibernéticas mais sofisticadas (IDS/IPS). Saiba mais sobre o debate IPS vs IDS aqui.
Selecionar uma solução IDS
Um IDS é um componente valioso da implantação de segurança cibernética de qualquer organização. Um firewall simples fornece a base para a segurança da rede, mas muitas ameaças avançadas podem passar por ele. Um IDS adiciona uma linha de defesa adicional, tornando mais difícil para um invasor obter acesso à rede de uma organização sem ser detectado.
Ao selecionar uma solução IDS, é importante considerar cuidadosamente o cenário de implantação. Em alguns casos, um IDS pode ser a melhor opção para o trabalho, enquanto, em outros, a proteção integrada de um IPS pode ser uma opção melhor. O uso de um NGFW que tem funcionalidade IDS/IPS integrada fornece uma solução integrada, simplificando a detecção de ameaças e o gerenciamento de segurança.
A Check Point tem muitos anos de experiência no desenvolvimento de sistemas IDS e IPS que fornecem um alto nível de detecção de ameaças com taxas de erro muito baixas, permitindo que analistas SOC e respondedores de incidentes identifiquem facilmente ameaças verdadeiras. Para ver nossos NGFWs, com funcionalidade IDS/IPS integrada, em ação, solicite uma demonstração ou simplesmente entre em contato conosco caso tenha alguma dúvida. Além disso, você pode aprender sobre a prevenção de ataques à rede IoT e a dispositivos neste webinar.
Opinião