Um sistema de detecção de intrusão (IDS) é uma ferramenta de segurança de rede que monitora o tráfego de rede e os dispositivos em busca de atividades maliciosas conhecidas, atividades suspeitas ou violações de políticas de segurança.
Um IDS pode ajudar a acelerar e automatizar a detecção de ameaças de rede, alertando os administradores de segurança sobre ameaças conhecidas ou em potencial, ou enviando alertas para uma ferramenta de segurança centralizada, como um sistema de gerenciamento de eventos e informações de segurança (SIEM), onde podem ser combinados com dados de outras fontes para ajudar as equipes de segurança a identificar e responder a ameaças cibernéticas que podem ser seguidas por outras medidas de segurança.
Os IDSs também podem apoiar os esforços de conformidade. Determinadas regulamentações, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS), exigem que as organizações implementem medidas de detecção de intrusão.
Um IDS não pode impedir ameaças à segurança por si só. Atualmente, os recursos do IDS são normalmente integrados ou incorporados a sistemas de prevenção de intrusões (IPSs), que podem detectar ameaças à segurança e agir automaticamente para evitá-las.
Os IDSs podem ser aplicativos de software instalados em endpoints ou dispositivos de hardware dedicados conectados à rede. Algumas soluções de IDS estão disponíveis como serviços de nuvem. Seja qual for a forma que assuma, um IDSs usará um ou ambos os dois métodos principais de detecção de ameaças: detecção baseada em assinatura ou baseada em anomalias.
A detecção baseada em assinatura analisa pacotes de rede em busca de assinaturas de ataque – características ou comportamentos exclusivos associados a uma ameaça específica. Uma sequência de código que aparece em uma variante específica de malware é um exemplo de assinatura de ataque.
Um IDS baseado em assinatura mantém um banco de dados de assinaturas de ataque com o qual compara pacotes de rede. Se um pacote disparar uma correspondência com uma das assinaturas, o IDS a sinalizará. Para serem eficazes, os bancos de dados de assinaturas devem ser atualizados regularmente com novas informações sobre ameaças, à medida que surgem novos ataques cibernéticos e os ataques existentes evoluem. Novos ataques que ainda não foram analisados para assinaturas podem evitar IDS baseados em assinatura.
Os métodos de detecção baseados em anomalias usam o aprendizado de máquina para criar - e refinar continuamente - um modelo de linha de base da atividade normal da rede. Em seguida, ele compara a atividade da rede com o modelo e sinaliza os desvios - como um processo que usa mais largura de banda do que normalmente usa ou um dispositivo que abre uma porta que normalmente está fechada.
Como ele relata qualquer comportamento anormal, o IDS baseado em anomalias geralmente pode detectar novos ataques cibernéticos que podem evitar a detecção baseada em assinaturas. Por exemplo, IDSs baseados em anomalias podem detectar explorações de dia zero — ataques que se aproveitam das vulnerabilidades do software antes que o desenvolvedor do software as conheça ou tenha tempo de corrigi-las.
Mas IDSs baseados em anomalias também podem ser mais propensos a falsos positivos. Até mesmo atividades benignas, como um usuário autorizado acessando um recurso de rede sensível pela primeira vez, podem desencadear um IDS baseado em anomalias.
A detecção baseada em reputação bloqueia o tráfego de endereços IP e domínios associados a atividades maliciosas ou suspeitas. A análise de protocolo com monitoração de estado se concentra no comportamento do protocolo — por exemplo, ela pode identificar um ataque de negação de serviço (DoS) detectando um único endereço IP fazendo muitas solicitações de conexão TCP simultâneas em um curto período.
Seja qual for o(s) método(s) usado(s), quando um IDS detecta uma ameaça potencial ou violação de política, ele alerta a equipe de resposta a incidentes para investigar. Os IDSs também mantêm registros de incidentes de segurança, seja em seus próprios logs ou registrando-os com uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) ( consulte "IDS e outras soluções de segurança" abaixo). Esses logs de incidentes podem ser usados para refinar os critérios do IDS, como adicionar novas assinaturas de ataque ou atualizar o modelo de comportamento de rede.
Os IDSs são categorizados com base em onde são colocados em um sistema e em que tipo de atividade eles monitoram.
Sistemas de detecção de intrusão de rede (NIDSs) monitoram o tráfego de entrada e saída para dispositivos em toda a rede. Os NIDS são colocados em pontos estratégicos na rede. Eles geralmente são posicionados imediatamente atrás de firewalls no perímetro da rede para que possam sinalizar qualquer tráfego mal-intencionado que invada. A NIDS também pode ser colocada dentro da rede para detectar ameaças internas ou hackers que tenham sequestrado contas de usuário. Por exemplo, o NIDS pode ser colocado atrás de cada firewall interno em uma rede segmentada para monitorar o fluxo de tráfego entre sub-redes.
Para evitar o impedimento do fluxo de tráfego legítimo, um NIDS geralmente é colocado "fora da banda", o que significa que o tráfego não passa diretamente por ele. Um NIDS analisa cópias de pacotes de rede em vez dos próprios pacotes. Dessa forma, o tráfego legítimo não precisa esperar pela análise, mas o NIDS ainda pode capturar e sinalizar o tráfego mal-intencionado.
Os sistemas de detecção de intrusão de host (HIDSs) são instalados em um endpoint específico, como um laptop, roteador ou servidor. O HIDS monitora apenas a atividade nesse dispositivo, incluindo o tráfego de e para ele. Um HIDS normalmente funciona tirando instantâneos periódicos de arquivos críticos do sistema operacional e comparando esses instantâneos ao longo do tempo. Se o HIDS perceber uma alteração, como edição de arquivos de log ou alteração de configurações, ele alertará a equipe de segurança.
As equipes de segurança muitas vezes combinam sistemas de detecção de intrusão baseados em rede e sistemas de detecção de intrusão baseados em host. O NIDS analisa o tráfego em geral, enquanto o HIDS pode adicionar proteção extra em torno de ativos de alto valor. Um HIDS também pode ajudar a capturar atividades maliciosas de um nó de rede comprometido, como ransomware se espalhando de um dispositivo infectado.
Embora o NIDS e o HIDS sejam os mais comuns, as equipes de segurança podem usar outros IDSs para fins especializados. Um IDS baseado em protocolo (PIDS) monitora os protocolos de conexão entre servidores e dispositivos. Os PIDS são frequentemente colocados em servidores da web para monitorar conexões HTTP ou HTTPS. Um IDS baseado em protocolo de aplicativo (APIDS) funciona na camada do aplicativo, monitorando protocolos específicos do aplicativo. Um APIDS é frequentemente implementado entre um servidor web e um banco de dados SQL para detectar injeções de SQL.
Embora as soluções IDS possam detectar muitas ameaças, os hackers desenvolveram maneiras de contorná-las. Os fornecedores de IDS respondem atualizando suas soluções para levar em conta essas táticas. No entanto, isto criou uma espécie de corrida armamentista, com hackers e IDSs tentando ficar um passo à frente uns dos outros.
Algumas táticas comuns de evasão de IDS incluem:
Ataques distribuídos de negação de serviço (DDoS) —colocando os IDSs off-line, inundando-os com tráfego obviamente malicioso de diversas fontes. Quando os recursos do IDS são sobrecarregados pelas ameaças falsas, os hackers entram sorrateiramente.
Spoofing– falsificação de registros IP lidar com e DNS para fazer parecer que o tráfego vem de uma fonte confiável.
Fragmentação: divisãodo malware ou de outras cargas maliciosas em pequenos pacotes, obscurecendo a assinatura e evitando a detecção. Ao atrasar estrategicamente os pacotes ou enviá-los fora de ordem, os hackers podem impedir que o IDS reembale-os e observe o ataque.
Criptografia - uso de protocolos criptografados para contornar um IDS se o IDS não tiver a chave de descriptografia correspondente.
Fadiga do operador - gerarum grande número de alertas de IDS propositalmente para distrair a equipe de resposta a incidentes de sua atividade real.
Os IDSs não são ferramentas independentes. Eles foram projetados para fazer parte de um sistema holístico de segurança cibernética e geralmente são totalmente integrados a uma ou mais das seguintes soluções de segurança.
Os alertas de IDSs geralmente são canalizados para o SIEM de uma organização, onde podem ser combinados com alertas e informações de outras ferramentas de segurança em um único painel centralizado. A integração do IDS com o SIEMs permite que as equipes de segurança enriqueçam os alertas do IDS com inteligência de ameaças e dados de outras ferramentas, filtrem alarmes falsos e priorizem incidentes para correção.
Conforme mencionado acima, um IPS monitora o tráfego da rede em busca de atividades suspeitas, como um IDS, e intercepta ameaças em tempo real ao encerrar conexões automaticamente ou acionar outras ferramentas de segurança. Como os IPSs têm como objetivo impedir ataques cibernéticos, eles geralmente são colocados em linha, o que significa que todo o tráfego precisa passar pelo IPS antes de chegar ao resto da rede.
Algumas organizações implementam um IDS e um IPS como soluções separadas. Mais frequentemente, IDS e IPS são combinados em um único sistema de detecção e prevenção de intrusões (IDPS) que detecta invasões, registra-as, alerta equipes de segurança e responde automaticamente.
IDSs e firewalls são complementares. Os firewalls estão voltados para fora da rede e atuam como barreiras, usando conjuntos de regras predefinidos para permitir ou não o tráfego. Os IDSs geralmente ficam próximos a firewalls e ajudam a detectar qualquer coisa que passe por eles. Alguns firewalls, especialmente firewalls de última geração, têm funções integradas de IDS e IPS.
Capture ameaças ocultas à espreita na sua rede, antes que seja tarde demais. O IBM Security QRadar Network Detection and Response (NDR) ajuda suas equipes de segurança analisando a atividade da rede em tempo real. Ele combina profundidade e amplitude de visibilidade com dados e análises de alta qualidade para proporcionar insights e respostas práticos.
Obtenha a proteção de segurança que sua empresa precisa para melhorar a prontidão para violações com uma assinatura de retenção de resposta a incidentes do IBM Security. Quando você interage com nossa equipe de elite de consultores de RI, você tem parceiros confiáveis de prontidão para ajudar a reduzir o tempo necessário para responder a um incidente, minimizar seu impacto e ajudá-lo a se recuperar mais rapidamente antes que um incidente de cibersegurança seja suspeitado.
Impeça que o ransomware interrompa a continuidade dos negócios e recupere rapidamente quando houver ataques, com uma abordagem de confiança zero que o ajude a detectar e responder ao ransomware mais rapidamente e a minimizar o impacto dos ataques de ransomware.
Um plano formal de resposta a incidentes permite que as equipes de segurança cibernética limitem ou evitem danos causados por ataques cibernéticos ou violações de segurança.
A NDR usa inteligência artificial, aprendizado de máquina e análise comportamental para detectar e responder a atividades suspeitas da rede.
O SIEM monitora e analisa eventos relacionados à segurança em tempo real e registra dados de segurança para fins de conformidade ou auditoria.