IDS: Históriria, conceito e terminologia

IDS: História, conceito e terminologia

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 7 minutos

A segurança de redes é um tema muito discutido por gestores e analistas de TI. A cada ano que passa, grandes investimentos são feitos para proteger a privacidade, integridade e disponibilidade das informações. Tudo isso por causa dos crescentes ataques e sequestros de dados que atingem diversas pessoas e empresas ao redor do mundo – que duplicaram no ano de 2017, segundo pesquisa da ISOC (Internet Society).

Para antecipar essas ameaças, o IDS (Intrusion Detection System) é um sistema de detecção de intrusão que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede. Dessa forma, é possível identificar pontos ou tentativas de invasão, dando permissão para registro e possibilitando a melhoria contínua do ambiente de segurança.

Se tiver interesse em conhecer a história, o conceito e os principais tipos de IDS, é só continuar com a leitura desse blog post.

O que é detecção de intrusão?

Com o objetivo de inspecionar dados e verificar a existência de fraudes ou erros, os sistemas financeiros começaram a introduzir, em meados da década de 60, a prática da auditoria. Contudo, surgiram algumas questões pertinentes, sobre o que deveria ser detectado, como realizar uma análise nas descobertas e como proteger os diversos níveis de habilitação de segurança em uma mesma rede sem comprometer a segurança.

Entre 1984 e 1986, então, dois especialistas desenvolveram o primeiro modelo de IDS, chamado IDES (Sistema Especialista em Detecção de Intrusão). Ele é baseado na hipótese de que a base de comportamento de um intruso não é o mesmo de um usuário legítimo. Por isso, o modelo tenta criar um padrão de comportamento de usuários em relação a programas, arquivos e dispositivos, tanto em longo quanto em curto prazo. Depois do IDES, muitos outros sistemas foram desenvolvidos, baseados numa abordagem que combinava estatística e sistemas especialistas.

Conceitualmente, o IDS refere-se a um mecanismo capaz de identificar ou detectar a presença de atividades intrusivas. Em um conceito mais amplo, isto engloba todos os processos utilizados na descoberta de utilizações não autorizadas de dispositivos de rede ou de computadores. Isto é feito através de um software projetado especificamente para tal propósito.

No entanto, devemos salientar a diferença entre IDS, IPS (Intrusion Prevention System) e IDPS. Enquanto o primeiro é um software que automatiza o processo de detecção de intrusão, o segundo faz a prevenção de intrusão, que tem por objetivo impedir possíveis ataques. Já o IDPS, por fim, é um recurso híbrido de detecção e prevenção acoplado como uma única solução.

Por que um sistema de detecção de intrusão é importante?

A cada dia que passa, novas técnicas para comprometer ambientes computacionais são criadas, e é um grande desafio para o mercado de segurança da informação acompanhar esta velocidade, e até mesmo estar à frente para não atuar de forma reativa. O Brasil, por exemplo, é o país que mais sofre com ataques de ransomware na América Latina, com 55% do total.

Por isso, a implementação de uma boa política de IDS é fundamental em uma arquitetura de segurança. Este recurso, se atualizado constantemente, é capaz de manter a infraestrutura distante de ataques oportunistas, seja sob uma perspectiva da rede, ou seja, pelo próprio comprometimento de um computador.

Combinar tantos sistemas de detecção e prevenção de intrusão baseados em rede e em host é essencial para uma boa saúde de segurança. Nenhum dos modelos apresentados é necessariamente excludente. Pelo contrário, eles devem ser tratados como complementares de acordo com a necessidade e criticidade de proteção exigidas por um negócio.

Quais os tipos de IDS?

Os sistemas de detecção de intrusão podem ser categorizados em quatro grupos, dependendo do tipo de evento que monitoram e a maneira como são implantados.

IDS baseado em máquina e rede

Network Based

Este tipo de IDS monitora o tráfego de rede em um segmento ou dispositivo, e analisa a rede e a atividade dos protocolos para identificar comportamentos suspeitos. Também é capaz de detectar inúmeros tipos de eventos de interesse, e geralmente é implantado em uma topologia de segurança como fronteira entre duas redes, por onde o tráfego é afunilado. Por causa disso, em muitos casos, o próprio recurso de IDS acaba sendo integrado diretamente no firewall.

Host Based

Podemos considerar um computador ou um servidor como host, pois o termo se refere a um equipamento ou ativo propriamente dito. A detecção de intrusão, neste formato, monitora características do dispositivo e os eventos que acontecem com ele em busca de atividades suspeitas. Geralmente, os IDS host based podem ser instalados de maneira individual, tanto para computadores corporativos dentro de uma rede empresarial, quanto para endpoints. Entre as principais características que ele acompanha, destacam-se o tráfego da rede para o dispositivo, os processos em execução, os logs do sistema, e o acesso e alteração em arquivos e aplicações.

IDS baseado em conhecimento e comportamento

Conhecimento

O IDS de conhecimento se baseia em um banco de dados que reconhece a assinatura de vulnerabilidades já identificadas anteriormente. Neste caso, é de suma importância que a estrutura tenha uma política de atualização contínua desse banco de dados, para garantir a continuidade de segurança do ambiente. Aquilo que não é conhecido não pode ser protegido.

Comportamento

Este IDS, por outro lado, analisa o comportamento do tráfego e segue uma linha padrão de atividade normal do sistema. Caso haja desvios desse padrão – com a possibilidade de ser uma intrusão –, podem ser tomadas algumas ações, tais como o bloqueio temporário do tráfego ou alarmes para núcleos de operação de rede (NOC/SNOC). Dessa forma, a anormalidade pode ser melhor investigada, liberada ou permanentemente bloqueada.

IDS ativo e passivo

Ativo

É definido como um IDS ativo aquele que está programado para bloquear automaticamente ataques ou atividades suspeitas que sejam do seu conhecimento, sem qualquer necessidade de intervenção humana. Embora seja um modelo extremamente interessante, é importante uma padronização adequada nos ambientes protegidos a fim de minimizar falsos positivos – por exemplo, ao bloquear conexões que são legítimas, assim causando transtornos para a empresa.

Passivo

Um IDS passivo, por fim, faz o monitoramento do tráfego que passa através dele e assim identifica potenciais ataques ou anormalidades. Com base nisso, acaba gerando alertas para administradores e times de segurança – sem afetar em nada na comunicação.

Trata-se de um modelo bastante interessante em uma arquitetura de segurança e, independente de não atuar diretamente na prevenção, serve como um excelente termômetro de ataques e tentativas de acesso não autorizados a infraestrutura de uma empresa.

Se você tiver interesse em maiores informações sobre sistemas de detecção de intrusão ou gostaria de esclarecer dúvidas sobre o assunto, fique à vontade para conversar com um dos nossos especialistas na área. É totalmente gratuito!

Continue sua leitura

Willian Pandini
willian.pandini@ostec.com.br