O Que É Um Sistema de Prevenção de Intrusão

O que é um sistema de prevenção de intrusão (IPS)?
Um sistema de prevenção de intrusão (IPS) monitora o tráfego de rede

em busca de ameaças potenciais e toma automaticamente medidas
para bloqueá-las, alertando a equipe de segurança, encerrando
conexões perigosas, removendo conteúdo malicioso ou acionando
outros dispositivos de segurança.
As soluções IPS evoluíram de sistemas de detecção de intrusão (IDSs), que detectam e
relatam ameaças à equipes de segurança. Um IPS tem as mesmas funções de detecção
de ameaças e geração de relatórios que um IDS, além de capacidades automatizadas de
prevenção de ameaças, e é por isso que os IPSs às vezes são chamados de "sistemas de
detecção e prevenção de intrusão" (IDPS).
Como um IPS pode bloquear diretamente o tráfego mal-intencionado, ele pode aliviar as
cargas de trabalho das equipes de segurança e dos centros de operações de
segurança (SOCs), permitindo que eles se concentrem em ameaças mais complexas. Os
IPSs podem ajudar a aplicar políticas de segurança de rede, bloqueando ações não
autorizadas de usuários legítimos, e podem apoiar os esforços de conformidade. Por
exemplo, um IPS atenderia ao requisito do Padrão de Segurança de Dados do Setor de
Cartões de Pagamento (PCI-DSS) para medidas de detecção de intrusões.
Métodos de detecção de ameaças IPS
Os IPSs empregam três métodos principais de detecção de ameaças, exclusivamente ou
em combinação, para analisar o tráfego.
Detecção baseada em assinatura
Métodos de detecção baseados em assinatura analisam pacotes de rede em busca de

assinaturas de ataque, características ou comportamentos únicos associados a uma
ameaça específica.Uma sequência de código que aparece em uma variante
de malware específica é um exemplo de assinatura de ataque.
Um IPS baseado em assinatura mantém um banco de dados de assinaturas de ataque

com o qual compara pacotes de rede. Se um pacote disparar uma correspondência com
uma das assinaturas, o IPS tomará as medidas cabíveis. Os bancos de dados de
assinatura devem ser atualizados regularmente para que sejam informados sobre
ameaças à medida que novos ataques cibernéticos surgem e os ataques existentes
evoluem. No entanto, novos ataques que ainda não foram analisados em busca de
assinaturas podem escapar de um IPS baseado em assinatura.
Detecção baseada em anomalias
Os métodos de detecção baseados em análise usam inteligência artificial

e aprendizagem automática para criar e refinar continuamente um modelo básico de
atividade de rede normal. O IPS compara a atividade de rede contínua ao modelo e entra
em ação quando encontra desvios, como um processo usando mais largura de banda do
que o típico ou um dispositivo abrindo uma porta que é geralmente fechada.
Como os IPSs baseados em anomalias respondem a qualquer comportamento anormal,

eles muitas vezes podem bloquear novos ataques cibernéticos que podem evadir a
detecção baseada em assinatura. Eles podem até identificar exploits de dia zero –
ataques que tiram proveito de vulnerabilidades de software antes que o desenvolvedor
do software saiba sobre elas ou tenha tempo de corrigi- las.
No entanto, IPSs baseados em anomalias podem ser mais propensos a falsos positivos.
Até mesmo atividades benignas, como um usuário autorizado acessando um recurso de
rede sensível pela primeira vez, podem desencadear um IPS baseado em anomalias.
Como resultado, usuários autorizados podem ser inicializados a partir da rede ou ter
seus endereços IP bloqueados.
Detecção baseada em políticas
Os métodos de detecção baseados em políticas são baseados nas políticas de segurança

definidas pela equipe de segurança. Sempre que um IPS baseado em políticas detecta
uma ação que viola uma política de segurança, ele bloqueia a tentativa.
Por exemplo, um SOC pode definir políticas de controle de acesso que determinam
quais usuários e dispositivos podem acessar um host. Se um usuário não autorizado
tentar se conectar ao host, um IPS baseado em políticas irá interrompê-lo.
Embora os IPSs baseados em políticas ofereçam personalização, eles podem exigir um

investimento inicial significativo. A equipe de segurança deve criar um conjunto
abrangente de políticas que descrevam o que é e não é permitido em toda a rede.
Métodos de detecção de ameaças menos comuns
Embora a maioria dos IPSs use os métodos de detecção de ameaças descritos acima,
alguns usam técnicas menos comuns.
A detecção baseada em reputação sinaliza e bloqueia o tráfego de endereços IP e

domínios associados a atividades maliciosas ou suspeitas. Análise de protocolo
estável concentra-se no comportamento do protocolo — por exemplo, ele pode
identificar um ataque distribuído de negação de serviço (DDoS) detectando um único
endereço IP fazendo muitas solicitações de conexão TCP simultâneas em um curto
período.

O Que É Um Sistema de Prevenção de Intrusão

Enviado por

Direitos autorais:

Formatos disponíveis

O Que É Um Sistema de Prevenção de Intrusão

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

O Que É Um Sistema de Prevenção de Intrusão

Enviado por

Direitos autorais:

Formatos disponíveis

O que é um sistema de prevenção de intrusão (IPS)?

Um sistema de prevenção de intrusão (IPS) monitora o tráfego de rede

Métodos de detecção baseados em assinatura analisam pacotes de rede em busca de

Um IPS baseado em assinatura mantém um banco de dados de assinaturas de ataque

Os métodos de detecção baseados em análise usam inteligência artificial

Como os IPSs baseados em anomalias respondem a qualquer comportamento anormal,

Os métodos de detecção baseados em políticas são baseados nas políticas de segurança

Embora os IPSs baseados em políticas ofereçam personalização, eles podem exigir um

A detecção baseada em reputação sinaliza e bloqueia o tráfego de endereços IP e

Você também pode gostar