IDS x IPS: Qual é a diferença?

Os Sistemas de Detecção de Intrusão (IDS) analisam o tráfego de rede para detectar assinaturas de ataques cibernéticos conhecidos. Os Sistemas de Prevenção de Intrusão (IPS), além de analisar pacotes, também podem bloqueá-los com base no tipo de ataques que detectam, o que ajuda a interromper esses ataques.

Como funcionam os Sistemas de Detecção de Intrusão (IDS) e os Sistemas de Prevenção de Intrusão (IPS)

Tanto os sistemas IDS quanto os IPS fazem parte da infraestrutura de rede. Os sistemas IDS/IPS comparam os pacotes de rede com um banco de dados de ameaças cibernéticas contendo assinaturas conhecidas de ataques cibernéticos e sinaliza todos os pacotes que correspondam a essas assinaturas.

A principal diferença entre os dois é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle.

O IDS não modifica os pacotes de rede de forma alguma, enquanto o IPS impede a transmissão de pacotes com base em seu conteúdo, da mesma forma que um firewall bloqueia o tráfego com base no endereço IP.

• Sistemas de Detecção de Intrusão (IDS): analisam e monitoram o tráfego da rede para detectar sinais de que invasores estão usando uma ameaça cibernética conhecida para se infiltrar ou roubar dados da sua rede. Os sistemas IDS comparam a atividade atual da rede com um banco de dados de ameaças conhecidas para detectar vários tipos de comportamentos, como violações de políticas de segurança, malware e scanners de portas.
• Sistemas de Prevenção de Intrusão (IPS): atuam na mesma área da rede que um firewall, entre o mundo externo e a rede interna. Os sistemas IPS rejeitam proativamente o tráfego de rede com base em um perfil de segurança se esse pacote representar uma ameaça de segurança conhecida.

Muitos provedores de IDS/IPS integraram novos sistemas IPS com firewalls para criar uma tecnologia de Gerenciamento Unificado de Ameaças (UTM), que combina a funcionalidade desses dois sistemas semelhantes em uma única unidade. Alguns sistemas integram as funcionalidades de um IDS e um IPS em uma unidade.

As diferenças entre os sistemas IDS e IPS

Tanto os sistemas IDS quanto os IPS leem pacotes de rede e comparam seu conteúdo com um banco de dados de ameaças conhecidas. A principal diferença os dois é o que acontece a seguir. Os sistemas IDS são ferramentas de detecção e monitoramento que não agem por conta própria. Já os IPS são sistemas de controle que aceitam ou rejeitam um pacote com base em um conjunto de regras.

Com os IDS, é necessário que um humano ou outro sistema assuma o controle para analisar os resultados e determinar quais ações devem ser tomadas, o que pode representar um trabalho em tempo integral, dependendo da quantidade diária de tráfego de rede gerado. Os IDS são uma ferramenta forense post-mortem muito boa para o grupo CSIRT, que pode usá-los como parte de suas investigações de incidentes de segurança.

Por outro lado, o objetivo dos IPS é capturar pacotes perigosos e removê-los antes que atinjam seu alvo. É mais passivo que um IDS e simplesmente requer que o banco de dados seja atualizado regularmente para incluir informações sobre novas ameaças.

*Destaque: a eficácia do IDS e do IPS é tão boa quanto a de seus bancos de dados de ataques cibernéticos. Você deve mantê-los atualizados e se preparar para fazer ajustes manuais quando um novo ataque surgir e/ou a assinatura do ataque estiver faltando no banco de dados.

Por que os sistemas IDS e IPS são essenciais para a cibersegurança

As equipes de segurança enfrentam um risco crescente de vazamento de dados e multas por não conformidade. Ao mesmo tempo, elas continuam enfrentando problemas de restrições orçamentárias e políticas corporativas. A tecnologia IDS/IPS abrange tarefas específicas e importantes em termos de estratégia de cibersegurança:

• Automação: os sistemas IDS/IPS são em grande parte automáticos, o que os torna candidatos perfeitos para integração na pilha de segurança atual. Os sistemas IPS oferecem a tranquilidade de que a rede está protegida de ameaças conhecidas com requisitos de recursos limitados.
• Conformidade: no contexto de conformidade, muitas vezes é necessário comprovar que você investiu em tecnologias e sistemas dedicados à proteção dos seus dados. A implementação de uma solução IDS/IPS permite satisfazer uma condição de conformidade e realizar diversas verificações de segurança do CIS. Acima de tudo, os dados de auditoria são uma parte essencial das investigações de conformidade.
• Aplicação de políticas: os sistemas IDS/IPS são configuráveis para ajudar a aplicar políticas de segurança internas no nível da rede. Por exemplo, se você usar apenas uma VPN, poderá usar o IPS para bloquear o tráfego de outra VPN.

O Varonis DatAlert complementa os sistemas IDS/IPS: enquanto a segurança da rede é fundamental para proteger contra vazamentos de dados — e as soluções IDS/IPS cumprem perfeitamente esse papel —, a Varonis monitora a atividade de dados em tempo real, que é uma camada crítica em qualquer estratégia de cibersegurança.

Quando um novo ataque de ransomware aparece, os sistemas IDS/IPS podem não ter as assinaturas necessárias para bloquear o ataque no nível da rede. A solução da Varonis, por outro lado, não apenas incorpora detecção de ransomware baseada em assinatura, mas também reconhece as características e o comportamento de um ataque de ransomware (por exemplo, a modificação em pouco tempo de um grande número de arquivos) e aciona automaticamente um alerta para interromper o ataque antes que ele se espalhe.

Quer ver na prática? Faça uma demonstração individual para ver como a Varonis complementa seus sistemas IDS/IPS para uma forte estratégia de cibersegurança.