IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são tecnologias com objetivo de detectar e prevenir acessos não autorizados às redes ou hosts, sendo ferramentas indispensáveis para a área de segurança da informação. Enquanto o IDS cuida do processo de detecção de intrusão (modo passivo), o IPS faz a prevenção de intrusão com o objetivo de impedir possíveis ataques.
Instalados em um host/servidor, são categorizados como HIDS (Host Intrusion Detection System) ou HIPS (Host Intrusion Prevention System), uma solução de detecção/prevenção de intrusão que realiza uma análise do tráfego de rede do ativo no qual está instalado.
Já um conjunto IDS e IPS instalado em um segmento de rede através de um appliance ou servidor é considerado do tipo NIDS (Network Intrusion Detection System) ou NIPS (Network Intrusion Prevention System), tendo seu foco no monitoramento e com atuação na rede/segmento. Tal tecnologia pode ser implementada de duas formas: através de hardwares dedicados à estas funcionalidades (appliances) ou instalada em hardwares ou servidores já existentes no ambiente. A implementação da solução de prevenção de intrusão pode ser combinada em soluções mistas, mesclando o monitoramento de rede ou segmento (proteção de perímetro) x hosts ou servidores (proteção baseada em host).
Reconhecimento x Comportamento
Uma solução de prevenção de intrusão baseada em reconhecimento detecta e identifica tentativas de intrusão de rede, fazendo consultas a uma base de dados de perfis e de vulnerabilidades já conhecidas. É de extrema importância que a solução tenha uma política de atualização frequente de base de dados (assinaturas) para garantir uma completa segurança do ambiente.
Outra abordagem é a solução se basear em comportamento, que realiza uma análise do tráfego suspeito de rede, com base em atividades fora do comum. A feature de detecção por comportamento, nesse caso, tomará as ações necessárias como bloqueio temporário do IP de origem da conexão e geração de alertas para a equipe de monitoramento de segurança analisar se de fato o tráfego suspeito deve ser permitido ou não.
Ativo x Passivo
Uma solução de prevenção de intrusão se torna ativa (IPS) quando a assinatura configurada for definida para bloquear automaticamente ataques ou atividades suspeitas que podem ser consideradas uma ameaça ao ambiente. Apesar de ser um modelo interessante, é importante uma parametrização e um tunning customizado do ambiente, obtendo assim uma melhor performance e minimizando alarmes falsos que podem causar bloqueios de conexões (de sistemas e aplicações corporativas).
Já o modo passivo (IDS) monitora o tráfego de rede para identificar ameaças potenciais, tentativas de intrusão ou conexão anormais, mas sem fazer qualquer bloqueio. O objetivo é gerar alertas para o time de monitoramento de segurança, sendo um modelo utilizado para criar um parâmetro de como deve ser configurada a aplicação quando alterada para o modo ativo de bloqueio.
Avalie suas atuais configurações e utilize as tecnologias em sua máxima capacidade para proteger o ambiente de sua empresa.
