CiberSegurança: o que é um IDS (Sistema de deteção de intrusões)?
Para protegermos os nossos ativos digitais existem as mais diversas soluções. Um dos mecanismos mais usados na área da cibersegurança são os IDS - Sistema de deteção de intrusões. Saiba o que é concretamente.
O que é um IDS?
Um IDS (Intrusion Detection Systems) é conjunto de componentes, de software ou de hardware, que tem a função de detetar, identificar e responder a atividades não autorizadas ou anormais num sistema alvo.
Uma intrusão é qualquer conjunto de ações com o intuito de comprometer a integridade, a confidencialidade ou a disponibilidade de um recurso.
Como funciona um IDS?
Um IDS é genericamente constituído por vários componentes:
Um IDS pode ser classificado segundo várias características operacionais. Na seguinte tabela estão indicadas algumas das características mais relevantes.
| 💥️Característica operacional | 💥️Classificação |
| 💥️Método de deteção | Baseada em conhecimento |
| Baseada em comportamento | |
| 💥️Recolha dos eventos (local) | Máquinas |
| Redes | |
| Híbridos | |
| 💥️Reatividade | Ativos |
| Passivos |
💥️Tabela – Classificação de IDS segundo características operacionais
Métodos de deteção de um IDS
💥️Baseado em conhecimento
💥️Baseado em comportamento
A recolha de eventos 💥️em máquinas (Host IDS - HIDS) serve para monitorizar o estado de diversos componentes de cada máquina: hardware, sistema operativo ou sistema de ficheiros, etc.
Os HIDS têm como principal vantagem o facto de estarem mais próximos dos recursos onde são feitos os ataques e intrusões, sendo assim possível recolher indícios dos mesmos. Contudo, os HIDS têm como desvantagem o facto de não terem uma visão geral de todo o sistema de máquinas, estes apenas têm a visão do que está a acontecer na máquina que está a analisar. Existe também uma pequena degradação do desempenho da máquina em análise.
A recolha de eventos 💥️em redes (Network IDS - NIDS) serve para monitorizar as interações entre máquinas. Tipicamente, os sensores deste tipo de IDS capturam os pacotes em passam na rede.
Uma vantagem deste tipo de IDS é o facto de, com um pequeno conjunto de sensores, poderem analisar um vasto conjunto de máquinas. Estes IDS podem operar em máquinas dedicadas. Contudo, estes IDS não poderão analisar informação cifrada que passa na rede. Outra desvantagem é o facto de este tipo de IDS não poder garantir que ocorreu um ataque ou intrusão, apenas pode indicar que existem atividades suspeitas.
Existem ainda IDSs que atuam tanto como HIDS e NIDS e este designam-se por 💥️híbridos.
IDS ativo e passivo
💥️IDS Ativo
Em ambos os casos, defesa ou contra-ataque, é necessário ter em conta vários fatores, pois as consequências de uma defesa ou contra-ataque poderão ser mais desastrosas que o próprio ataque.
💥️IDS passivo
Limitações dos IDS
Como todo o software, os IDSs também têm as suas limitações. Aqui ficam algumas:
Este artigo foi originalmente escrito para o Pplware pelo André Nogueira
O que você está lendo é [CiberSegurança: o que é um IDS (Sistema de deteção de intrusões)?].Se você quiser saber mais detalhes, leia outros artigos deste site.
Wonderful comments