Varonis | Segurança de dentro para fora

IDS vs. IPS: o que as organizações precisam saber para se proteger

Escrito por Emilia Bertolli | Aug 31, 2022 1:28:00 PM

Sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) são categorias de ferramentas comumente usados por administradores de rede que precisam impedir que agentes mal-intencionados obtenham acesso à rede da empresa.É importante saber a diferença entre eles, quais são os melhores para determinados tipos de empresas e como maximizar sua eficácia. 

Visão geral: IDS x IPS

Um sistema de detecção de intrusão é mais um sistema de alerta que permite que uma empresa saiba se uma atividade anômala ou maliciosa é detectada. Um sistema de prevenção de intrusão leva essa detecção um passo além e desliga a rede antes que o acesso possa ser obtido ou para evitar movimentos adicionais em uma rede. 

O que é um IDS? Cinco tipos e suas funções

Um IDS monitora e detecta o comportamento em uma rede e deve ser considerado uma solução de diagnóstico. O sistema, caso detecte algo problemático, alerta a equipe de segurança para que possa intervir. 

Os cinco tipos de IDS aproveitam dois tipos de detecção

Detecção baseada em assinatura


Os Sistemas de Detecção de Intrusão baseados em assinatura alertam os administradores com base em assinaturas pré-existentes que se referem a um tipo de ataque ou comportamento malicioso. Isso permite alertas precisos e automatizados porque o sistema faz referência a um banco de dados de assinaturas existentes. 

Esse tipo de sistema geralmente procura indicadores de comprometimento, como varredura de hashes de arquivos, tráfego que vai para domínios maliciosos conhecidos, sequências de bytes maliciosas e até linhas de assunto de e-mail que são ataques de phishing 

Detecção baseada em anomalias


As soluções IDS baseadas em anomalias são consideradas mais eficazes que as baseadas em assinatura porque monitoram padrões de comportamento maliciosos ou suspeitos. Isso permite a detecção de novos tipos de ameaças, o que é quase impossível para sistemas baseados em assinaturas. 

A detecção baseada em anomalias geralmente procura um comportamento diferente de uma linha de base estabelecida. Por exemplo, se o horário de trabalho normal para os funcionários foi definido, um Sistema de Detecção de Intrusão baseado em anomalia pode sinalizar um login ocorrendo no fim de semana. O sistema também pode alertar com base na quantidade de tráfego conectado à rede ou novos dispositivos adicionados sem autorização. 

Os tipos de IDS variam com base em onde estão monitorando as ameaças e como é feita essa detecção. 

Sistemas de detecção de intrusão de rede (NIDS)


Um sistema de intrusão de rede monitora o tráfego por meio de vários sensores, colocados via hardware ou software, a própria rede. O sistema monitora, então, todo o tráfego que passa pelos dispositivos nos vários pontos do sensor. 

Sistemas de detecção de intrusão de host (HIDS)


Um HIDS é colocado diretamente nos dispositivos para monitorar o tráfego, dando aos administradores de rede um pouco mais de controle e flexibilidade. No entanto, isso pode se tornar oneroso dependendo do tamanho da organização. Se for aproveitado apenas o HIDS, a empresa teria que contabilizar cada novo dispositivo adicionado, deixando espaço para erros e, ao mesmo tempo, ocupando muito tempo da equipe de TI. 

Sistemas de detecção de intrusão baseados em protocolo (PIDS)


Um IDS baseado em protocolo geralmente é colocado à frente de um servidor e monitora o tráfego que flui de e para dispositivos. Isso é aproveitado para proteger usuários que navegam na internet. 

Sistemas de detecção de intrusão baseados em protocolo de aplicativo (APIDS)


Um APIDS é semelhante ao sistema baseado em protocolo, mas monitora o tráfego em um grupo de servidores. Isso geralmente é aproveitado em protocolos de aplicativos específicos para monitorar a atividade, ajudando os administradores de rede a segmentar e classificar melhor suas atividades de monitoramento da rede. 

Sistemas híbridos de detecção de intrusão


As soluções híbridas de IDS fornecem uma combinação dos tipos de detecção de intrusão acima. As ofertas de alguns fornecedores cruzam várias categorias para cobrir diversos sistemas em uma só interface. 

O que é um IPS? Quatro tipos e como funcionam

Um IPS tem a mesma funcionalidade que os Sistemas de Detecção de Intrusão em termos de detecção, mas também contém recursos de resposta. Uma solução IPS tem uma atuação mais abrangente e age quando um possível ataque, comportamento malicioso ou usuário não autorizado é detectado. 

As funções específicas de um IPS dependem do tipo de solução, mas, em geral, ter um IPS instalado é útil para automatizar ações e conter ameaças sem a necessidade de um administrador. 

Sistema de prevenção de intrusão baseado em rede (NIPS)


Um NIPS monitora e protege uma rede inteira contra comportamentos anômalos ou suspeitos. Este é um sistema de base ampla que pode ser integrado a ferramentas de monitoramento adicionais para ajudar a fornecer uma visão abrangente da rede de uma empresa. 

Sistema de prevenção de intrusão sem fio (WIPS)


WIPS também são bastante comuns, muitas vezes monitorando qualquer rede sem fio de propriedade da empresa. Esse tipo é semelhante a um NIPS, mas está localizado em redes sem fio para uma detecção e resposta mais direcionados. 

Sistema de prevenção de intrusão baseado em host (HIPS)


O HIPS geralmente é implantado em dispositivos ou hosts-chave que uma organização precisa proteger. O sistema monitora todo o tráfego que flui através e do host para detectar comportamentos maliciosos. 

Análise comportamental de rede (NBA)


Ao contrário do NIPS, uma solução NBA procura por comportamentos anormais dentro dos padrões de uma própria rede, tornando-se fundamental para detectar incidentes como ataques DDoS, comportamentos contra a política e outros tipos de malware. 

IDS vs. IPS: Semelhanças e diferenças

Um IDS e um IPS são bastante semelhantes, principalmente devido ao seu processo de detecção similar. No entanto, suas diferenças ditam se uma organização optará por ou um outro. 

Semelhanças

Nas duas soluções é possível esperar um nível semelhante de: 

Monitoramento: Ambos os sistemas monitoram redes, tráfego e atividades em dispositivos e servidores, variando apenas em quão direcionados ou amplos são seus recursos 

Alertas: Ao descobrir uma ameaça potencial, apenas um IPS dará o próximo passo necessário, mas ambas as soluções primeiro alertam sobre a descoberta e a ação associada. 

Aprendizado: Dependendo do sistema de detecção usado por um sistema IPS ou IDS, ambos provavelmente aprenderão a detectar comportamentos suspeitos e reduzir falsos positivos. 

Registro: Ambos os sistemas mantêm uma conta do que é monitorado e qual ação foi tomada para que a equipe de segurança possa analisar o desempenho. 

Diferenças

Dependendo dos recursos de uma equipe de segurança, as diferenças entre os sistemas se tornam muito importantes: 

Resposta: Esta é a diferença mais importante entre os dois sistemas. Um IDS para na fase de detecção, deixando a equipe de segurança livre para decidir qual ação tomar. Um IPS, dependendo das configurações e política, toma medidas para tentar conter a ameaça ou impedir que usuários não autorizados se incorporem ainda mais à rede. 

Proteção: Devido às diferenças acima, um IPS oferece mais proteção porque age automaticamente, deixando pouco tempo para um invasor continuar comprometendo a rede. 

Impacto: Como efeito colateral dessa automação, falsos positivos podem afetar negativamente uma operação. Um IPS pode desligar a rede ou interromper o tráfego de e para um determinado dispositivo em nome da precaução e segurança, mesmo que a ameaça não exija uma ação tão drástica ou seja fruto de um falso positivo. 

Por que as soluções IDS e IPS são essenciais para a segurança cibernética

As organizações não devem necessariamente considerar a escolha de uma solução em detrimento de outra. Ambas são extremamente úteis e muitos fornecedores oferecem um sistema de detecção e prevenção de intrusão, ou IDPS, como uma solução que oferece os benefícios de ambos os sistemas. 

Os recursos de detecção e resposta provaram ser cruciais para as organizações não apenas saberem quando um ataque atingiu seu perímetro, mas também para agirem de acordo com o problema. Ao empregar soluções eficazes de detecção de resposta, as empresas capturam agentes mal-intencionados e reduzem o tempo de permanência, reduzindo o impacto que esses agentes possam ter. 

Os líderes de segurança devem ter uma compreensão das necessidades de sua empresa, bem como uma lista de quais dados exigem monitoramento antes de escolher a solução de IDS e/ou IPS certa. Eles também devem fazer um balanço de seu próprio setor de segurança para determinar de se desejam uma solução automatizada, se têm recursos para reagir de acordo ou se preferem uma abordagem híbrida. 

Recomendamos aproveitar os dois sistemas ou uma combinação de IDPS para uma proteção eficaz. À medida que as organizações crescem e escalam, soluções IDS/IPS adicionais podem ser utilizadas para atender servidores, redes ou dispositivos adicionais. 

Para uma visão mais profunda da segurança da rede e como ela deve ser aprimorada, o Varonis Edge tem a solução. Solicite uma demonstração gratuita. 
Visualizar publicação completa