O que é um sistema de detecção de intrusão (IDS)?

Um IDS pode ajudar a acelerar e automatizar a detecção de ameaças na rede, alertando os administradores de segurança sobre ameaças conhecidas ou potenciais, ou enviando alertas para uma ferramenta centralizada de segurança. Uma ferramenta centralizada de segurança, como um sistema de gerenciamento de informações e eventos de segurança (SIEM), pode combinar dados de outras fontes para ajudar as equipes de segurança a identificar e responder a ameaças cibernéticas que possam passar despercebidas por outras medidas de segurança.

Os IDSs também podem apoiar os esforços de conformidade. Certas regulamentações, como o Payment Card Industry Data Security Standard (PCI-DSS), exigem que as organizações implementem medidas de detecção de intrusões.

Um IDS não pode parar ameaças de segurança por conta própria. Atualmente, os recursos do IDS são normalmente integrados ou incorporados a sistemas de prevenção de intrusões (IPSs), que podem detectar ameaças à segurança e agir automaticamente para evitá-las.

Os IDSs podem ser aplicações de software instaladas em endpoints ou dispositivos de hardware dedicados conectados à rede. Algumas soluções IDS estão disponíveis como serviços em nuvem. Independentemente da forma que assuma, um IDS utiliza um ou ambos os dois métodos principais de detecção de ameaças: detecção baseada em assinatura ou detecção baseada em anomalia.

A detecção baseada em assinatura analisa pacotes de rede em busca de assinaturas de ataque, características ou comportamentos exclusivos associados a uma ameaça específica. Um trecho de código que aparece em uma variante específica de malware é um exemplo de assinatura de ataque.

Um IDS baseado em assinatura mantém um banco de dados de assinaturas de ataques contra o qual compara os pacotes de rede. Se um pacote corresponder a uma das assinaturas, o IDS o sinaliza. Para ser eficaz, os bancos de dados de assinaturas devem ser atualizados regularmente com nova inteligência de ameaças à medida que novos ataques cibernéticos surgem e ataques existentes evoluem. Ataques completamente novos, que ainda não foram analisados para assinaturas, podem escapar de um IDS baseado em assinatura.

Os métodos de detecção baseada em anomalia usam aprendizado de máquina para criar (e refinar continuamente) um modelo de referência da atividade normal da rede. Em seguida, comparam a atividade da rede com o modelo e sinalizam desvios — como um processo que usa mais largura de banda do que o normal ou um dispositivo abrindo uma porta.

Como relatam qualquer comportamento anômalo, os IDS baseados em anomalias podem frequentemente detectar novos ataques cibernéticos que poderiam escapar da detecção baseada em assinatura. Por exemplo, IDSs baseados em anomalias podem detectar vulnerabilidades de dia zero — ataques que aproveitam vulnerabilidades de software antes que o desenvolvedor de software saiba sobre elas ou tenha tempo de corrigi-las.

No entanto, IDSs baseados em anomalias podem ser mais propensos a falsos positivos. Mesmo atividades benignas, como um usuário autorizado acessando um recurso de rede sensível pela primeira vez, podem desencadear um IDS baseado em anomalias.

A detecção baseada em reputação bloqueia o tráfego de endereços IP e domínios associados a atividades maliciosas ou suspeitas. A análise de protocolo com estado foca no comportamento do protocolo — por exemplo, pode identificar um ataque de denial-of-service (DoS) detectando um único endereço IP fazendo muitas solicitações de conexão TCP simultâneas em um curto período.

Seja qual for o(s) método(s) usado(s), quando um IDS detecta uma ameaça potencial ou violação de política, ele alerta a equipe de resposta a incidentes para investigar. Os IDSs também mantêm registros de incidentes de segurança, seja em seus próprios logs ou registrando-os com uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) (consulte "IDS e outras soluções de segurança" abaixo). Esses logs de incidentes podem ser usados para refinar os critérios do IDS, como adicionar novas assinaturas de ataque ou atualizar o modelo de comportamento de rede.

Os IDSs são categorizados com base em onde são colocados em um sistema e em que tipo de atividade eles monitoram.

Os sistemas de detecção de intrusões de rede (NIDSs) monitoram o tráfego de entrada e saída para dispositivos em toda a rede. Os NIDS são colocados em pontos estratégicos na rede, frequentemente imediatamente atrás de firewalls no perímetro da rede para que possam sinalizar qualquer tráfego malicioso que penetre.

Os NIDS também podem ser colocados dentro da rede para detectar ameaças internas ou hackers que sequestraram contas de usuários. Por exemplo, NIDS podem ser colocados atrás de cada firewall interno em uma rede segmentada para monitorar o tráfego entre sub-redes.

Para evitar impedir o fluxo de tráfego legítimo, um NIDS é frequentemente colocado "fora de banda", o que significa que o tráfego não passa diretamente por ele. Um NIDS analisa cópias de pacotes de rede em vez dos próprios pacotes. Dessa forma, o tráfego legítimo não precisa esperar pela análise, mas o NIDS ainda pode capturar e sinalizar tráfego malicioso.

Os sistemas de detecção de intrusão de host (HIDSs) são instalados em um endpoint específico, como um laptop, roteador ou servidor. O HIDS monitora apenas a atividade nesse dispositivo, incluindo o tráfego de e para ele. Um HIDS normalmente funciona tirando instantâneos periódicos de arquivos críticos do sistema operacional e comparando esses instantâneos ao longo do tempo. Se o HIDS perceber uma alteração, como edição de arquivos de log ou alteração de configurações, ele alertará a equipe de segurança.

As equipes de segurança muitas vezes combinam sistemas de detecção de intrusão baseados em rede e sistemas de detecção de intrusão baseados em host. O NIDS analisa o tráfego em geral, enquanto o HIDS pode adicionar proteção extra em torno de ativos de alto valor. Um HIDS também pode ajudar a capturar atividades maliciosas de um nó de rede comprometido, como ransomware se espalhando de um dispositivo infectado.

Embora NIDS e HIDS sejam os mais comuns, as equipes de segurança podem usar outros IDSs para fins especializados. Um IDS baseado em protocolo (PIDS) monitora protocolos de conexão entre servidores e dispositivos. ] Os PIDS são frequentemente colocados em servidores web para monitorar conexões HTTP ou HTTPS.

Um IDS baseado em protocolo de aplicativo (APIDS) funciona na camada do aplicativo, monitorando protocolos específicos do aplicativo. Um APIDS é frequentemente implementado entre um servidor web e um banco de dados SQL para detectar injeções de SQL.

Embora as soluções IDS possam detectar muitas ameaças, os hackers podem contorná-las. Os fornecedores de IDS respondem atualizando suas soluções para levar em conta essas táticas. No entanto, essas atualizações de solução criam algo como uma corrida armamentista, com hackers e IDSs tentando ficar um passo à frente um do outro.

Algumas táticas comuns de evasão de IDS incluem:

• Ataques de distributed denial-of-service (DDoS): colocando os IDSs offline, inundando-os com tráfego obviamente malicioso de diversas fontes. Quando os recursos do IDS são sobrecarregados pelas ameaças falsas, os hackers entram sorrateiramente.

• Spoofing: falsificação de endereços IP e registros de DNS para fazer parecer que o tráfego vem de uma fonte confiável.

• Fragmentação: divisão do malware ou de outras cargas maliciosas em pequenos pacotes, obscurecendo a assinatura e evitando a detecção. Ao atrasar estrategicamente os pacotes ou enviá-los fora de ordem, os hackers podem impedir que o IDS reembale-os e observe o ataque.

• Criptografia: uso de protocolos criptografados para contornar um IDS se o IDS não tiver a chave de descriptografia correspondente.

• Fadiga do operador: gerar um grande número de alertas de IDS propositalmente para distrair a equipe de resposta a incidentes de sua atividade real.

Os IDSs não são ferramentas independentes. Eles foram projetados para fazer parte de um sistema holístico de segurança cibernética e geralmente são totalmente integrados a uma ou mais das seguintes soluções de segurança.

Os alertas de IDSs geralmente são canalizados para o SIEM de uma organização, onde podem ser combinados com alertas e informações de outras ferramentas de segurança em um único painel centralizado. A integração do IDS com o SIEMs permite que as equipes de segurança enriqueçam os alertas do IDS com inteligência de ameaças e dados de outras ferramentas, filtrem alarmes falsos e priorizem incidentes para correção.

Como mencionado acima, um IPS monitora o tráfego de rede em busca de atividades suspeitas, como um IDS, e intercepta ameaças em tempo real, terminando automaticamente conexões ou acionando outras ferramentas de segurança. Como os IPSs são projetados para interromper ataques cibernéticos, geralmente são colocados em linha, o que significa que todo o tráfego deve passar pelo IPS antes de alcançar o restante da rede.

Algumas organizações implementam um IDS e um IPS como soluções separadas. Mais frequentemente, IDS e IPS são combinados em um único sistema de detecção e prevenção de intrusões (IDPS), que detecta intrusões, as registra, alerta as equipes de segurança e responde automaticamente.

IDSs e firewalls são complementares. Os firewalls enfrentam o exterior da rede e atuam como barreiras usando conjuntos de regras predefinidas para permitir ou bloquear o tráfego. Os IDSs geralmente ficam perto dos firewalls e ajudam a capturar qualquer coisa que passe por eles. Alguns firewalls, especialmente os firewalls de próxima geração, têm funções integradas de IDS e IPS.