CiberSegurança: O que é um IDS (Sistema de deteção de intrusões)?

2 meses atrás 65

  3. CiberSegurança: O que é um IDS (Sistema de deteção de intrusões)?

Para protegermos os nossos ativos digitais existem as mais diversas soluções. Um dos mecanismos mais usados na área da cibersegurança são os IDS - Sistema de deteção de intrusões. Saiba o que é concretamente.

O que é um IDS?

Um IDS (Intrusion Detection Systems) é conjunto de componentes, de software ou de hardware, que tem a função de detetar, identificar e responder a atividades não autorizadas ou anormais num sistema alvo.

Uma intrusão é qualquer conjunto de ações com o intuito de comprometer a integridade, a confidencialidade ou a disponibilidade de um recurso.

Como funciona um IDS?

Um IDS é genericamente constituído por vários componentes:

Sensores que geram os eventos de segurança; Consola que controla os sensores, monitoriza os eventos e alertas; Motor que utiliza as regras de segurança para gerar os alertas a partir dos eventos de segurança. Este também regista os eventos, por exemplo, numa base de dados.

Um IDS pode ser classificado segundo várias características operacionais. Na seguinte tabela estão indicadas algumas das características mais relevantes.

Característica operacional Classificação
Método de deteção Baseada em conhecimento
Baseada em comportamento
Recolha dos eventos (local) Máquinas
Redes
Híbridos
Reatividade Ativos
Passivos

Tabela – Classificação de IDS segundo características operacionais

Métodos de deteção de um IDS

Baseado em conhecimento

analisa a atividade do sistema em busca de padrões de ataque ou instrução conhecidos. Este tipo de deteção é muito eficiente porque a taxa de falsos positivos é baixa. Contudo, a principal desvantagem é o facto de apenas detetar problemas conhecidos.

Baseado em comportamento

deteta desvios à normalidade no comportamento ao sistema computacional. Este tipo de deteção tem como principal vantagem a possibilidade de detetar novas formas de ataques e instruções. Por sua vez, este método tem dois grandes problemas: a definição do que é comportamento normal do sistema em análise e a geração de muitos falsos positivos se mal configurado.

A recolha de eventos em máquinas (Host IDS - HIDS) serve para monitorizar o estado de diversos componentes de cada máquina: hardware, sistema operativo ou sistema de ficheiros, etc.

Os HIDS têm como principal vantagem o facto de estarem mais próximos dos recursos onde são feitos os ataques e intrusões, sendo assim possível recolher indícios dos mesmos. Contudo, os HIDS têm como desvantagem o facto de não terem uma visão geral de todo o sistema de máquinas, estes apenas têm a visão do que está a acontecer na máquina que está a analisar. Existe também uma pequena degradação do desempenho da máquina em análise.

A recolha de eventos em redes (Network IDS - NIDS) serve para monitorizar as interações entre máquinas. Tipicamente, os sensores deste tipo de IDS capturam os pacotes em passam na rede.

Uma vantagem deste tipo de IDS é o facto de, com um pequeno conjunto de sensores, poderem analisar um vasto conjunto de máquinas. Estes IDS podem operar em máquinas dedicadas. Contudo, estes IDS não poderão analisar informação cifrada que passa na rede. Outra desvantagem é o facto de este tipo de IDS não poder garantir que ocorreu um ataque ou intrusão, apenas pode indicar que existem atividades suspeitas.

Existem ainda IDSs que atuam tanto como HIDS e NIDS e este designam-se por híbridos.

IDS ativo e passivo

IDS Ativo

consegue reagir de forma automática a ataques ou intrusões (defesa ou contra-ataque). As medidas de defesa são tipicamente de isolamento do recurso atacado, ativando, por exemplo, uma firewall. Em relação às medidas de contra-ataque, o IDS poderá tentar atacar a máquina que realizou o ataque, tentado saber quais os serviços que estão a executar na mesma e explorar uma falha de segurança.

Em ambos os casos, defesa ou contra-ataque, é necessário ter em conta vários fatores, pois as consequências de uma defesa ou contra-ataque poderão ser mais desastrosas que o próprio ataque.

IDS passivo

apenas reage com alertas, fornecendo relatórios com o máximo de informação possível. A geração deste relatório permite aos administradores de sistemas analisarem o que está a acontecer e conseguirem reagir ao ataque ou intrusão.

Limitações dos IDS

Como todo o software, os IDSs também têm as suas limitações. Aqui ficam algumas:

A adaptação a sistemas diversificados tem de ser feita obrigatoriamente para reduzir a um nível aceitável a taxa de falsos positivos, para que os administradores de sistemas não percam a confiança no IDS. A escalabilidade dos HIDS é complexa porque cada máquina tem o seu próprio sistema e a aplicação do mesmo IDS é complicada. Os NIDS também não escalam facilmente em redes de alto débito. Existem todos os dias novos ataques. Isso faz com que a base de conhecimento dos IDS esteja constantemente em atualização. Assim, poderão existir ataques sem que sejam detetados pelos IDS. Alguns softwares com bugs poderão gerar pacotes corrompidos e isso pode fazer com que o IDS possa gerar falsos positivos.

Este artigo foi originalmente escrito para o Pplware pelo André Nogueira

Ler artigo completo
  3. CiberSegurança: O que é um IDS (Sistema de deteção de intrusões)?

Relacionado

Irão rejeita "acusações infundadas" da Suécia sobre ataque informático category-label-
Irão rejeita "acusações infundadas" da Suécia sobre ataque informático

Irão rejeita "acusações infundadas" da Suécia sobre ataque informático...

Petróleo descer e combustíveis a subir! O que se passa? category-label-
Petróleo descer e combustíveis a subir! O que se passa?

Petróleo descer e combustíveis a subir! O que se passa?

iOS 18.1 ativa as funcionalidades dos aparelhos auditivos nos AirPods Pro 2 category-label-
iOS 18.1 ativa as funcionalidades dos aparelhos auditivos nos AirPods Pro 2

iOS 18.1 ativa as funcionalidades dos aparelhos auditivos nos AirPods ...

Recibos verdes: Fisco altera o site e cria novas funcionalidades category-label-
Recibos verdes: Fisco altera o site e cria novas funcionalidades

Recibos verdes: Fisco altera o site e cria novas funcionalidades

Spotify vai lançar playlists criadas por IA em mais países category-label-
Spotify vai lançar playlists criadas por IA em mais países

Spotify vai lançar playlists criadas por IA em mais países

Sony eleva o nível dos monitores de gaming com os INZONE M10S OLED e INZONE M9 II category-label-
Sony eleva o nível dos monitores de gaming com os INZONE M10S OLED e INZONE M9 II

Sony eleva o nível dos monitores de gaming com os INZONE M10S OLED e I...

Vigor já esta disponível para PC category-label-
Vigor já esta disponível para PC

Vigor já esta disponível para PC

Nothing OS 3.0 e já tem data de lançamento e primeiros detalhes oficiais category-label-
Nothing OS 3.0 e já tem data de lançamento e primeiros detalhes oficiais

Nothing OS 3.0 e já tem data de lançamento e primeiros detalhes oficia...

Isenção de IMT na compra de casa por jovens: o que precisa saber category-label-
Isenção de IMT na compra de casa por jovens: o que precisa saber

Isenção de IMT na compra de casa por jovens: o que precisa saber

Rede Sociais

Facebook Page