O que é um sistema de prevenção de intrusão (Intrusion Prevention System, IPS)?

Em resumo, um sistema de prevenção de intrusão (Intrusion Prevention System, IPS), também conhecido como sistema de prevenção de detecção de intrusão (intrusion detection prevention system, IDPS), é uma tecnologia atenta a qualquer atividade maliciosa ocorrida na rede que tente explorar uma vulnerabilidade conhecida.

A principal função de um Sistema de prevenção de intrusão (Intrusion Prevention System, IPS) é identificar qualquer atividade suspeita e detectar e permitir (IDS) ou prevenir (IPS) a ameaça. A tentativa é registrada e relatada aos gerentes de rede ou à equipe do Security Operations Center (SOC) .

Get a Personal Firewall Demo Benchmark de segurança Miercom 2024 NGFW

O que é IPS

Por que sistemas de prevenção de intrusão devem ser usados?

As tecnologias IPS podem detectar ou prevenir ataques à segurança da rede, como ataques de força bruta, ataques de negação de serviço (DoS) e explorações de vulnerabilidade. Uma vulnerabilidade é uma fraqueza em um sistema de software e uma exploração é um ataque que aproveita essa vulnerabilidade para obter o controle de um sistema. Quando uma exploração é anunciada, muitas vezes há uma janela de oportunidade para os invasores explorarem essa vulnerabilidade antes que o patch de segurança seja aplicado. Um Sistema de prevenção de intrusão (Intrusion Prevention System, IPS) pode ser usado nesses casos para bloquear rapidamente esses ataques.

 

Como as tecnologias de IPS observam fluxos de pacote, elas também podem ser usadas para impor o uso de protocolos seguros e negar o uso de protocolos inseguros, como versões anteriores de SSL ou protocolos que usam criptografias fracas.

Como funcionam os sistemas de prevenção de intrusão?

As tecnologias de IPS têm acesso a pacotes onde são implantadas, como sistemas de detecção de intrusão de rede (Network intrusion detection systems, NIDS) ou como sistemas de detecção de intrusão de host (Host intrusion detection systems, HIDS). O IPS de rede tem uma visão mais ampla de toda a rede e pode ser implantado em linha na rede ou off-line na rede como um sensor passivo que recebe pacotes de uma porta TAP ou SPAN de rede.

O método de detecção empregado pode ser baseado em assinatura ou anomalia. Assinaturas predefinidas são padrões de ataques de rede bem conhecidos. O IPS compara os fluxos de pacotes com a assinatura para ver se há uma correspondência de padrão. Os sistemas de detecção de intrusões baseados em anomalias utilizam heurística para identificar ameaças, por exemplo, comparando uma amostra de tráfego com uma linha de base conhecida.

Qual é a diferença entre IDS e IPS?

As primeiras implementações da tecnologia foram implementadas no modo de detecção em dispositivos de segurança dedicados. À medida que a tecnologia amadureceu e passou para o Firewall de próxima geração ou dispositivo UTM integrado, a ação padrão é definida para evitar o tráfego malicioso.

 

Em alguns casos, a decisão de detectar e aceitar ou impedir o tráfego é baseada na confiança em relação à proteção específica do IPS. Quando há menor confiança em uma proteção do IPS, há maior probabilidade de falsos-positivos. Um falso-positivo ocorre quando o IDS identifica uma atividade como um ataque, mas a atividade é um comportamento aceitável. Por esse motivo, muitas tecnologias de IPS também têm a capacidade de registrar sequências de pacote do evento de ataque. Em seguida, eles podem ser analisados para determinar se houve uma ameaça real e para melhorar ainda mais a proteção do IPS.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK