IDS: O que é intrusion detection system?
Adotar um intrusion detection system (IDS) é uma forma eficiente de se complementar firewalls tradicionais. Um IDS analisa e monitora sistemas e redes inteiras em tempo real e continuamente, identificando potenciais ameaças e prontamente notificando os usuários, para que eles tomem as medidas cabíveis, com a ajuda de outros softwares.
Como o intrusion detection system funciona
Embora os sistemas de segurança modernos, para redes e computadores, estejam bastante avançados, os ataques digitais também vêm evoluindo. Portanto, para proteger infraestruturas sensíveis com mais eficiência, usuários devem lançar mão de múltiplas medidas de segurança. Nesse contexto, um intrusion detection system pode atuar como o complemento perfeito de um firewall. O IDS é excelente na detecção precoce de potenciais ameaças, alertando usuários instantaneamente para que eles possam executar ações defensivas imediatas. Ainda mais importante, um intrusion detection system também consegue identificar ataques que já tenham contornado as defesas de firewalls.
Ao contrário do intrusion prevention system (IPS), o intrusion detection system não defende um sistema contra ataques. Na verdade, o IDS simplesmente analisa atividades de rede em busca de determinados padrões. Ao detectar padrões incomuns, o sistema de detecção alerta o usuário, transmitindo informações detalhadas sobre a origem e a natureza do possível ataque, para que este possa ser combatido.
Acesse este artigo especializado do nosso Digital Guide para explorar, em mais detalhes, as diferença entre um intrusion detection system e um intrusion prevention system.
Tipos de intrusion detection systems
Intrusion detection systems são classificados em três diferentes tipos: baseado em host (HIDS), baseado em rede (NIDS) e sistemas híbridos, que combinam princípios de HIDS e de NIDS.
Intrusion detection system baseado em host (HIDS)
Um intrusion detection system baseado em host é o tipo mais tradicional dessa solução de segurança, tendo por principal característica o fato de ser instalado diretamente no sistema. Esse IDS é capaz de analisar dados nos níveis de registro e de kernel, além de também conseguir examinar outros arquivos de sistema. Para acomodar o uso de estações de trabalho autônomas, um IDS baseado em* host depende de agentes de monitoramento*, responsáveis por filtrar previamente o tráfego e enviar as respectivas descobertas ao servidor central. Embora altamente preciso e abrangente, esse tipo de* intrusion detection system é mais vulnerável a ataques de DoS e DDoS. Além disso, todo IDS baseado em host* depende do sistema operacional.
Intrusion detection system baseado em rede (NIDS)
Um intrusion detection system baseado em rede examina os pacotes de dados transmitidos dentro de uma rede, identificando prontamente padrões incomuns ou anormais, para a produção de relatórios. Entretanto, analisar grandes volumes de dados é desafiador e pode sobrecarregar o IDS, dificultando o monitoramento em tempo real.
Intrusion detection system híbrido
Hoje em dia, a maioria dos provedores faz uso de intrusion detection systems híbridos, que integram as duas abordagens já apresentadas. Esses sistemas são formados por sensores baseados em host, sensores baseados em rede e por uma camada de gestão central, para onde os resultados convergem, oferecendo análise mais aprofundadas e maior controle ao usuário.
Vantagens do IDS
Um intrusion detection system não deve ser considerado ou usado como substituto de um firewall. Ele funciona como um complemento ao* firewall*, ao possibilitar a identificação de ameaças com mais eficiência. Como o IDS é capaz de analisar até a mais alta camada do modelo OSI, ele também consegue reconhecer fontes de perigo novas e desconhecidas, mesmo quando as defesas do* firewall* ainda não tenham sido violadas.
- Escaneamento regular de vírus e malware
- Backup automático e recuperação de arquivos simples
Componentes do IDS
Atualmente, o modelo híbrido é o tipo mais comum de intrusion detection system, por aplicar tanto abordagens baseadas em host quanto baseadas em rede. As informações coletadas são avaliadas na camada de gestão central, formada por três componentes.
Monitor de dados
O monitor de dados coleta todos os dados pertinentes por meio de seus sensores e os filtra com base na relevância. Entre os dados analisados estão dados do host, que abrangem arquivos de registro e detalhes do sistema, bem como pacotes transmitidos por meio da rede. Um IDS também reúne e organiza endereços de origem e destino, além de outros atributos críticos. Entre os requisitos analisados está a origem dos dados, que devem ser provenientes de fontes confiáveis ou do próprio sistema de detecção de intrusos, para assegurar a integridade e para barrar manipulações prévias.
Analisador
O segundo componente da camada de um IDS híbrido é o analisador, responsável por avaliar todos os dados recebidos e previamente filtrados por meio de padrões. Essa avaliação é realizada em tempo real e, por isso, pode sobrecarregar recursos de processamento e de memória. Assim, processadores com bom desempenho são fundamentais para a produção de análises rápidas e precisas. O analisador aplica dois métodos distintos em suas avaliações:
- Detecção de uso indevido: Na detecção de uso indevido, o analisador investiga os dados recebidos para tentar identificar padrões de ataque conhecidos, que ficam armazenados em um banco de dados dedicado e são atualizados com regularidade. Quando um possível ataque se alinha com um dos padrões armazenados, ele é identificado ainda em fase inicial. No entanto, esse método não é eficaz para detectar ataques não conhecidos pelo sistema.
- Detecção de anomalias: A detecção de anomalias envolve avaliações que abrangem todo o sistema. Quando um ou mais processos desviam-se das normas estabelecidas, a ferramenta detecta a presença dessa anomalia. Por exemplo, se a carga do processador ultrapassar um certo limite ou se uma página registrar um pico incomum de acessos, um alerta é emitido pelo IDS. Para detectar anomalias, um intrusion detection system também analisa a ordem cronológica de diversos eventos, a fim de identificar padrões de ataques desconhecidos. No entanto, é importante ressaltar que, em alguns casos, anomalias inofensivas também podem ser identificadas e relatadas pelo sistema.
Anomalias comuns que um bom IDS consegue detectar incluem aumento de tráfego e de acesso a mecanismos de login e autenticação. Ou seja, essa tecnologia de segurança é uma das soluções mais interessantes para se combater ataques de força bruta. Para aumentar suas taxas de acerto ao detectar anomalias, muitos intrusion detection systems modernos usam inteligência artificial (IA).
Alerta
O terceiro e último componente de um intrusion detection system moderno é o alerta, que informa o usuário sobre a possibilidade de estar sofrendo um ataque, após a detecção da anomalia. O alerta pode ser dado por e-mail, notificação local ou mensagem de texto no dispositivo móvel.
Desvantagens do IDS
Embora o intrusion detection system aumente o nível de segurança de um sistema, ele traz consigo algumas desvantagens. Um IDS baseado em host pode ser vulnerável a ataques DDoS, enquanto sistemas de detecção baseados em rede encontram dificuldades de cuidar de instalações de redes maiores, podendo deixar de analisar alguns pacotes de dados. Dependendo de como foi configurado, um IDS também pode detectar anomalia inofensivas, acionando alarmes falsos. Ainda, como já foi esclarecido, intrusion detection systems são desenvolvidos somente para detectar ameaças, exigindo que outros softwares sejam usados para defender, de fato, o sistema contra os ataques .
Exemplo de IDS: Snort
Um dos mais conhecidos e populares intrusion detection systems é o Snort. A ferramenta de segurança, desenvolvida por Martin Roesch em 1998, não só é multiplataforma e de código aberto, como também oferece aos usuários as mesmas medidas de prevenção de um intrusion prevention system. O programa está disponível em duas versões: uma gratuita e outra paga, que recebe as atualizações mais rapidamente.