Um sistema de prevenção de intrusão (IPS) monitora o tráfego de rede em busca de ameaças potenciais e toma automaticamente medidas para bloqueá-las, alertando a equipe de segurança, encerrando conexões perigosas, removendo conteúdo malicioso ou acionando outros dispositivos de segurança.
As soluções IPS evoluíram de sistemas de detecção de intrusão (IDSs), que detectam e relatam ameaças à equipes de segurança. Um IPS tem as mesmas funções de detecção de ameaças e geração de relatórios que um IDS, além de capacidades automatizadas de prevenção de ameaças, e é por isso que os IPSs às vezes são chamados de "sistemas de detecção e prevenção de intrusão" (IDPS).
Como um IPS pode bloquear diretamente o tráfego mal-intencionado, ele pode aliviar as cargas de trabalho das equipes de segurança e dos centros de operações de segurança (SOCs), permitindo que eles se concentrem em ameaças mais complexas. Os IPSs podem ajudar a aplicar políticas de segurança de rede, bloqueando ações não autorizadas de usuários legítimos, e podem apoiar os esforços de conformidade. Por exemplo, um IPS atenderia ao requisito do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) para medidas de detecção de intrusões.
Os IPSs empregam três métodos principais de detecção de ameaças, exclusivamente ou em combinação, para analisar o tráfego.
Métodos de detecção baseados em assinatura analisam pacotes de rede em busca de assinaturas de ataque, características ou comportamentos únicos associados a uma ameaça específica.Uma sequência de código que aparece em uma variante de malware específica é um exemplo de assinatura de ataque.
Um IPS baseado em assinatura mantém um banco de dados de assinaturas de ataque com o qual compara pacotes de rede. Se um pacote disparar uma correspondência com uma das assinaturas, o IPS tomará as medidas cabíveis. Os bancos de dados de assinatura devem ser atualizados regularmente para que sejam informados sobre ameaças à medida que novos ataques cibernéticos surgem e os ataques existentes evoluem. No entanto, novos ataques que ainda não foram analisados em busca de assinaturas podem escapar de um IPS baseado em assinatura.
Os métodos de detecção baseados em análise usam inteligência artificial e aprendizagem automática para criar e refinar continuamente um modelo básico de atividade de rede normal. O IPS compara a atividade de rede contínua ao modelo e entra em ação quando encontra desvios, como um processo usando mais largura de banda do que o típico ou um dispositivo abrindo uma porta que é geralmente fechada.
Como os IPSs baseados em anomalias respondem a qualquer comportamento anormal, eles muitas vezes podem bloquear novos ataques cibernéticos que podem evadir a detecção baseada em assinatura. Eles podem até identificar exploits de dia zero – ataques que tiram proveito de vulnerabilidades de software antes que o desenvolvedor do software saiba sobre elas ou tenha tempo de corrigi- las.
No entanto, IPSs baseados em anomalias podem ser mais propensos a falsos positivos. Até mesmo atividades benignas, como um usuário autorizado acessando um recurso de rede sensível pela primeira vez, podem desencadear um IPS baseado em anomalias. Como resultado, usuários autorizados podem ser inicializados a partir da rede ou ter seus endereços IP bloqueados.
Os métodos de detecção baseados em políticas são baseados nas políticas de segurança definidas pela equipe de segurança. Sempre que um IPS baseado em políticas detecta uma ação que viola uma política de segurança, ele bloqueia a tentativa.
Por exemplo, um SOC pode definir políticas de controle de acesso que determinam quais usuários e dispositivos podem acessar um host. Se um usuário não autorizado tentar se conectar ao host, um IPS baseado em políticas irá interrompê-lo.
Embora os IPSs baseados em políticas ofereçam personalização, eles podem exigir um investimento inicial significativo. A equipe de segurança deve criar um conjunto abrangente de políticas que descrevam o que é e não é permitido em toda a rede.
Embora a maioria dos IPSs use os métodos de detecção de ameaças descritos acima, alguns usam técnicas menos comuns.
A detecção baseada em reputação sinaliza e bloqueia o tráfego de endereços IP e domínios associados a atividades maliciosas ou suspeitas. Análise de protocolo estável concentra-se no comportamento do protocolo — por exemplo, ele pode identificar um ataque distribuído de negação de serviço (DDoS) detectando um único endereço IP fazendo muitas solicitações de conexão TCP simultâneas em um curto período.
Quando um IPS detecta uma ameaça, ele registra o evento e o relata ao SOC, muitas vezes por meio de uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) (consulte "IPS e outras soluções de segurança" abaixo).
Mas o IPS não para por aí. Ele toma medidas automaticamente contra a ameaça, usando técnicas como:
Um IPS pode encerrar a sessão de um usuário, bloquear um endereço IP específico ou até mesmo bloquear todo o tráfego para um destino. Alguns IPSs podem redirecionar o tráfego para uma armadilha, um ativo falso que faz com que os hackers pensem que tiveram sucesso, quando na realidade, o SOC está observando-os.
Um IPS pode permitir que o tráfego continue, mas limpar as partes perigosas, como descartar pacotes maliciosos de um fluxo ou remover um anexo malicioso de um e-mail.
Um IPS pode acionar outros dispositivos de segurança para agir, como atualizar regras do firewall para bloquear uma ameaça ou alterar configurações de roteador para impedir que hackers alcancem seus alvos.
Alguns IPSs podem impedir que invasores e usuários não autorizados façam qualquer coisa que viole as políticas de segurança da empresa. Por exemplo, se um usuário tentar transferir informações confidenciais de um banco de dados do qual não deveria sair, o IPS o bloqueará.
As soluções IPS podem ser aplicativos de software instalados em endpoints, dispositivos de hardware dedicados conectados à rede ou entregues como serviços de nuvem. Como as IPSs devem ser capazes de bloquear atividades maliciosas em tempo real, elas são sempre colocadas "em sequência" na rede, o que significa que o tráfego passa diretamente pelo IPS antes de chegar ao seu destino.
Os IPSs são categorizados com base em onde se encontram numa rede e que tipo de atividade monitorizam. Muitas organizações usam vários tipos de IPSs em suas redes.
Um sistema de prevenção de intrusão (NIPS) baseado em rede monitora o tráfego de entrada e saída para dispositivos em toda a rede, inspecionando pacotes individuais em busca de atividades suspeitas. Os NIPS são colocados em pontos estratégicos na rede. Eles frequentemente estão localizados logo atrás dos firewalls na periferia da rede, para que possam bloquear o tráfego malicioso que consegue atravessar.O NIPS também pode ser colocado em ma rede para monitorar o tráfego de e para os principais ativos, como data centers ou dispositivos críticos.
Um sistema de prevenção de intrusão (HIPS) baseado em host é instalado em um endpoint específico, como um laptop ou servidor, e monitora somente o tráfego de e para esse dispositivo. O HIPS geralmente é usado em conjunto com o NIPS para adicionar segurança extra aos ativos vitais. O HIPS também pode bloquear atividades maliciosas de um nó de rede comprometido, como ransomware que se espalha de um dispositivo infectado.
As soluções de análise de comportamento de rede (NBA) monitoram os fluxos de tráfego de rede. Embora NBAs possam examinar pacotes como outros IPSs, muitos NBAs concentram-se em detalhes mais avançados das sessões de comunicação, como endereços IP de origem e destino, portas utilizadas e o número de pacotes transmitidos.
Os NBAs usam métodos de detecção baseados em anomalias, sinalizando e bloqueando quaisquer fluxos que se desviam da norma, como tráfego de ataques DDoS ou comunicação de dispositivos infectados por malware com um servidor de comando e controle desconhecidos.
Um sistema de prevenção de intrusão sem fio (WIPS) monitora protocolos de rede sem fio em busca de atividades suspeitas, como usuários e dispositivos não autorizados que acessam o Wi-Fi da empresa. Se um WIPS detectar uma entidade desconhecida em uma rede sem fio, ela poderá encerrar a conexão. Um WIPS também pode auxiliar na detecção de dispositivos mal configurados ou não seguros em uma rede Wi-Fi e interceptar ataques do tipo "man-in-the-middle", nos quais um hacker espiona secretamente as comunicações dos usuários.
Embora IPSs estejam disponíveis como ferramentas independentes, eles são projetados para serem intimamente integrados a outras soluções de segurança como parte de um sistema de cibersegurança abrangente.
Os alertas do IPS geralmente são canalizados para o SIEM de uma organização, onde podem ser combinados com alertas e informações de outras ferramentas de segurança em um único painel centralizado. A integração de IPSs com SIEMs permite que as equipes de segurança enriqueçam alertas de IPS com inteligência adicional contra ameaças, filtrem alarmes falsos e acompanhem as atividades de IPS para garantir que as ameaças tenham sido bloqueadas com sucesso. O SIEMS também pode ajudar os SOCs a coordenar dados de diferentes tipos de IPSs, pois muitas organizações usam mais de um tipo.
Conforme mencionado anteriormente, os IPSs evoluíram de IDSs e têm muitos dos mesmos recursos. Embora algumas organizações possam usar soluções separadas de IPS e IDS, a maioria das equipes de segurança implementa uma única solução integrada que oferece detecção robusta, logs, relatórios e prevenção automática de ameaças. Muitos IPSs permitem que as equipes de segurança desliguem as funções de prevenção, permitindo que eles atuem como IDSs puros, se a organização desejar.
Os IPSs servem como uma segunda linha de defesa atrás de firewalls. Firewalls bloqueiam o tráfego malicioso no perímetro, enquanto IPSs interceptam qualquer coisa que consiga violar o firewall e entrar na rede.Alguns firewalls, especialmente firewalls de última geração, têm funções de IPS incorporadas.
Identifique ameaças ocultas à espreita na sua rede, antes que seja tarde demais. O IBM Security QRadar Network Detection and Response (NDR) ajuda suas equipes de segurança analisando a atividade da rede em tempo real. Ele combina profundidade e amplitude de visibilidade com dados e análises de alta qualidade para proporcionar insights e respostas práticos.
Garanta a proteção de segurança que sua organização necessita para aprimorar a prontidão contra violações com uma assinatura de retenção de resposta a incidentes da IBM Security.Quando você colabora com nossa equipe de consultores de resposta a incidentes de elite, conta com parceiros de confiança prontos para ajudar a reduzir o tempo de resposta a um incidente, minimizar seu impacto e acelerar a recuperação, tudo antes de suspeitar de um incidente de cibersegurança.
Impeça que o ransomware interrompa a continuidade dos negócios e recuperar rapidamente quando ocorrem ataques — com uma abordagem de confiança zero que ajuda a detectar e responder ao ransomware de forma mais ágil e minimizar o impacto dos ataques de ransomware.
Conforme as redes da empresa crescem, também aumenta o risco de ataques cibernéticos. Saiba como as soluções de segurança de rede protegem os sistemas de computador contra ameaças de segurança internas e externas.
O SIEM monitora e analisa eventos relacionados à segurança em tempo real e registra e rastreia dados de segurança para fins de conformidade ou auditoria.
A NDR usa inteligência artificial, aprendizado de máquina e análise comportamental para detectar e responder a atividades suspeitas na rede.