Cada ataque cibernético coloca desafios únicos: soluções de segurança de tamanho único raramente são eficazes. Dois métodos particulares são às vezes comparados como soluções alternativas para lutar contra as ameaças: Sistemas de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS).
Os dois sistemas compartilham muitas semelhanças e podem ser igualmente úteis, dependendo das capacidades e necessidades específicas dos administradores da empresa ou do site. Assim, o que são IDS e IPS, e um é melhor que o outro?
IDS vs IPS
- Sistema de Detecção de Instrusão (IDS)
IDS escaneia o tráfego de entrada em busca de ameaças potenciais e ciberataques. Usando vários métodos de detecção (mais sobre estes mais tarde), eles verificam qualquer atividade suspeita que possa ameaçar as redes ou dispositivos que eles cobrem. Tendo detectado uma ação suspeita ou proibida, o sistema enviará um relatório para um site ou administrador de rede.
- Sistemas de Prevenção de Intrusão (IPS)
IPS adotam uma abordagem mais proativa e tentarão bloquear o tráfego de entrada se detectarem uma ameaça. Este processo baseia-se nos mesmos mecanismos de detecção que o IDS, mas apoia-os com medidas proactivas de prevenção.
Como funcionam os Sistemas de Detecção de Intrusão?
Um IDS é essencialmente um vigia que avista o inimigo que entra e alerta os seus superiores. O próprio vigia só existe para procurar ameaças, não para neutralizá-las. É um sistema projetado para trabalhar em conjunto com os administradores humanos, que podem então responder eficazmente a cada ameaça única. A maioria do IDS se encaixa nestas duas categorias:
- Sistema de Detecção de Intrusão de Rede (NIDS): Um NIDS monitora o tráfego de rede para qualquer ameaça potencial, sem focar em um dispositivo. Este é o sistema preferido pelos administradores que executam um grande ecossistema de hardware ou aplicativos conectados; com um NIDS, eles podem lançar uma rede mais ampla.
- Host Intrusion Detection System (HIDS): Esta abordagem é muito mais específica do que a do NIDS. Ao contrário da sua contraparte, um HIDS foca apenas em um único “host”, um dispositivo como um computador ou um servidor. Além de monitorar o tráfego de entrada que o hardware recebe, ele também escaneia o software desse dispositivo em busca de qualquer atividade incomum.
É importante entender que esses sistemas não são mutuamente exclusivos. Enquanto os NIDS podem oferecer grandes melhorias de segurança em toda a rede, os HIDS fornecem proteção específica para o dispositivo. Juntas, essas duas abordagens podem oferecer excelentes ferramentas para melhorar a segurança em todos os níveis.
Métodos de detecção
Existem duas estratégias de detecção que são utilizadas principalmente pelo IDS. Ambas têm suas próprias vantagens e desvantagens, e sua utilidade dependerá em grande parte do contexto.
- Sistemas baseados em anomalias operam em um entendimento predeterminado da atividade “não-suspiciosa” da rede. Isto significa que durante a instalação do software, os administradores definem as regras para a atividade “normal”, permitindo assim que o sistema “aprenda” o que é normal. Uma vez que um sistema baseado em anomalias tenha definido o que seria considerado “normal”, ele pode comparar comportamentos e detectar quando eles se tornam anômalos.
- Sistemas baseados em assinaturas dependem de uma base de dados pré-definida de ameaças conhecidas e os comportamentos associados a elas. Um IDS baseado em assinatura escaneia cada pedaço de tráfego de entrada e o compara com sua “lista negra”. Essa lista pode conter desde pacotes de dados suspeitos associados a um ataque DDOS até linhas de assunto de e-mail previamente ligadas a malware.
Alguns sistemas têm seus prós e contras. A detecção baseada em anomalias é muito mais provável de confundir comportamento não malicioso com uma ameaça, porque qualquer coisa que se desvie de seu entendimento de “normal” irá disparar o alarme. Não é um problema tão grande se se usa um IDS, claro, já que este simplesmente notificaria um ser humano em vez de bloquear totalmente o tráfego, como faria um IPS.
Sistemas baseados em assinaturas carecem da fluidez e da capacidade de aprendizagem da máquina de que beneficia um IDS baseado em anomalias. Qualquer banco de dados de ameaças é finito, e novos padrões de ataque surgem continuamente. Se a lista não for atualizada, o sistema não será capaz de detectar a ameaça.
Então, ao escolher o melhor método de detecção para seu IDS, as empresas que executam sites com tráfego pesado devem inclinar-se para a opção baseada em anomalias.
Como funcionam os Sistemas de Prevenção de Intrusão?
A maneira mais simples de entender um IPS é vê-lo como um IDS com uma característica adicional (e potencialmente alteradora do jogo): prevenção ativa.
Quando se trata de semelhanças, a maioria do IPS pode ser classificada na mesma linha do IDS em toda a rede e específica do host. Além disso, um IPS detecta ameaças da mesma forma que um IDS, usando uma lista negra de assinaturas ou um método baseado em anomalias.
A principal distinção entre os dois sistemas torna-se clara uma vez que um IPS tenha detectado uma ameaça potencial. Ao invés de notificar um administrador humano, ele lança imediatamente um processo preventivo, bloqueando e restringindo as ações de quem está enviando o tráfego suspeito.
Dependente do software, um IPS pode rejeitar o pacote de dados suspeito ou engajar o firewall da rede. Em casos drásticos, ele pode cortar a conexão completamente, tornando o site ou aplicativo inacessível a quem ele considerar uma ameaça.
Diferenças entre IDS e IPS
À primeira vista, o IPS pode parecer muito mais eficaz do que o IDS. Por que você iria querer apenas detectar as ameaças cibernéticas de entrada quando você poderia evitá-las automaticamente?
Um problema com o IPS é o dos falsos positivos. Isto não acontece com frequência, mas quando acontece o sistema não responde com a mesma nuance que um administrador humano responderia. Uma vez detectada, a ameaça percebida será bloqueada imediatamente, mesmo que tenha havido um erro. Isto pode resultar em funções do website sendo desativadas ou removidas para usuários não maliciosos sem qualquer supervisão humana.
Um IDS não irá bloquear um ataque ou um pacote suspeito, mas irá reconhecê-lo e alertar os administradores do website. Embora este sistema possa não ser o mais rápido, ele permite que os administradores humanos tomem a decisão final sobre como prevenir uma ameaça. Esta pode ser uma estratégia melhor do que confiar em um sistema automatizado falível como único árbitro do tráfego do site.
Para ser justo, o software IPS está melhorando e o número de falsos positivos está caindo. Portanto, o sistema poderia ser uma boa solução para websites que dependem de um alto volume de tráfego não interrompido.
Contexto é tudo
Temptando como é para tirar conclusões absolutas, o contexto é o fator decisivo quando se trata de escolher uma solução em vez da outra.
Cada empresa e usuário terá suas próprias necessidades de segurança e enfrentará diferentes ameaças e desafios. Um IPS pode ser adequado para a rede interna de uma empresa, mas um site grande com vários servidores pode achar o IDS uma opção melhor.
Pesar os méritos de cada sistema e ver como eles podem desempenhar um papel na satisfação de suas próprias necessidades de segurança. Uma solução sob medida é sempre a mais eficaz.
Para obter mais informações sobre segurança cibernética, assine o nosso boletim informativo mensal no blog abaixo!