Você está na página 1de 13

Tecnologias de Sistemas de Deteco e Preveno de Intruso (IDP) aplicados em ambientes de rede de dados hbridas: avaliao das necessidades e seleo

das ferramentas Elvis Pontes

OBJETIVO Este artigo tem como objetivo prover procedimentos e uma breve metodologia estruturada, mas flexvel, para a seleo, especificao, avaliao, implementao E configurao de tecnologias de sistemas de deteco de intruso (IDS), sistemas de preveno de intruso (IPS) e sistemas de deteco e preveno (IDP) para proteo de sistemas de informao e redes de dados. Procura-se, neste artigo, caracterizar sumariamente as quatro principais classes de produtos IDP: produtos baseados em rede, baseados em rede sem fio, softwares de deteco de comportamento anmalo de rede, e baseados em host. Procura-se tambm caracterizar o ambiente mais propcio para aplicao de cada classe de produto IDP. Para consecuo deste artigo, desenvolveu-se uma pesquisa identificando os tipos de tecnologias disponveis, o escopo de aplicao e as potencialidades das mesmas, de forma a se estabelecer dentro da anlise as tecnologias mais aplicveis ao ambiente estudado, para satisfazer a necessidade de controle especfico na mitigao eficiente e eficaz do risco determinado, em alinhamento com a poltica de segurana estabelecida. RESUMO Para que se efetue adequadamente a avaliao de produtos IDP, h a necessidade, em primeira mo, de serem definidos os permetros do ambiente e os requerimentos genricos que estes produtos devem compreender. As caractersticas e metodologias de produtos IDP so consideravelmente diversas. Portanto, uma boa soluo de IDP implementada em uma organizao talvez no seja ideal e nem satisfaa os requerimentos de uma outra. A principio, recomenda-se que as caractersticas dos sistemas da organizao e, principalmente, do ambiente da rede de dados precisam ser devidamente analisadas, assim um produto IDP pode ser selecionado de forma mais alinhada com os requisitos e consequentemente monitorar os eventos de interesse dos sistemas e/ou da rede. recomendvel tambm que a mesma metodologia seja adotada no desenvolvimento de solues IDP. Aps a anlise dos sistemas e ambiente de rede de dados, h de se definir os objetivos e metas que se desejam alcanar na aplicao da soluo IDP. As polticas de segurana existentes no ambiente organizacional devem ser revistas e analisadas antes da etapa de seleo dos produtos, pois estas servem como especificao para muitas caractersticas que devam ser cobertas pelo produto IDP. H ainda de se acrescentar a possibilidade de processos de auditoria, que podem ou no ser institudos.

INTRODUO

Deteco de intruso o processo de monitoramento e anlise de eventos que ocorrem em um sistema de computadores ou em uma rede de dados, em busca de sinais de incidentes em potencial, os quais podem ser violaes ou ameaas iminentes de violao das polticas de segurana. Preveno de intruso o processo da realizao da deteco de intruso no esforo de deter incidentes em potencial detectados. Sistemas de deteco e preveno (IDPs) esto focados na identificao de incidentes em potencial, controle de logs dos mesmos, no combate aos incidentes e em report-los aos administradores de segurana. Adicionalmente, as organizaes usam IDPs para outros propsitos, como na identificao de problemas com polticas de segurana, na documentao de ameaas existentes, e na dissuaso de funcionrios, terceirizados, prestadores de servio ou quaisquer indivduos que violem a poltica de segurana. IDPs tornaram-se uma necessidade adicional a infra-estrutura de segurana da maioria das grandes corporaes. IDPs gravam informaes relacionadas a eventos observados, notificando e reportando administradores de eventos importantes. Muitos IDPs podem tambm responder a uma ameaa detectada no esforo de prevenir a mesma de explorar a vulnerabilidade do sistema. Utilizam-se vrias tcnicas de resposta, que permitem ao IDP combater o ataque por si s, alterando o ambiente de segurana (reconfigurando o Firewall p. ex.), ou alterando o contedo do ataque. Existem muitos tipos de tecnologias IDP, as quais so diferenciadas principalmente pelos tipos de eventos que as mesmas podem monitorar e as formas que so empregadas. Sero apresentados e discutidos quatro tipos de tecnologias IDP: Baseado em rede monitora o trafego de rede para dispositivos ou seguimentos de rede em particular e analisa a rede e a atividade de protocolos de aplicao para identificar atividade maliciosa; Baseado em redes sem fio monitora o trfego de rede sem fio e o analisa para identificar atividade maliciosa e suspeita que envolva o prprio protocolo de rede sem fio. Deteco de comportamento anmalo de rede examina o trafego de rede para identificar ameaas que gerem um trafego de rede anormal, como ataques DDoS, escaneamento de portas e alguns tipos de malware. Baseado em Host monitora as caractersticas de um nico host e os eventos que ocorrem no mesmo de forma suspeita.

A proteo dos componentes IDP essencial para integridade dos mesmos, j que estes so alvos de ataques que visam danific-los de forma a barrar deteces, ou ataques que visam obter acesso a informaes privilegiadas, como configuraes de hosts. Os IDPs so compostos de diversos componentes, incluindo sensores e agentes, servidores de gerenciamento, servidores de dados e, usurios e consoles para administrao. Todos os componentes de operao e aplicaes devem ser bem guardados e mantidos atualizados. Aes especficas de proteo incluem contas separadas para cada usurio IDP e para o administrador, restrio e segregao de rede para melhor controle de acesso aos componentes IDP e garantir que as comunicaes com o gerenciador IDP esto protegidas adequadamente (criptografia de dados ou transmisso dos dados em rede segregada).

Os administradores devem manter a segurana dos componentes IDP de forma contnua, j que novas ameaas surgem todos os dias. A verificao de funcionalidade de todos os componentes um ponto importante: monitoramento dos componentes quanto detalhes de segurana, realizao de testes de vulnerabilidade peridicos, verificao das respostas explorao de vulnerabilidades, atualizao e testes de atualizao. Outro ponto importante a realizao de back ups regulares das diversas configuraes de todos os recursos IDP, conforme o preconizado nas polticas de segurana. A utilizao de tecnologias diversas de IDP deve ser considerada para alcanar uma maior acuidade na deteco e preveno de atividades maliciosas. Os tipos primrios de tecnologias IDP oferecem recursos diferentes para ordenao de informao, registro de logs, deteco e preveno. Cada tipo de tecnologia tem vantagens sobre a outra, como deteco de alguns eventos que outras no realizam e deteco de alguns eventos com maior exatido que a outra. Em muitos ambientes, uma soluo robusta de IDP no pode ser alcanada sem a utilizao de vrios tipos de tecnologias IDP. Para a maioria dos ambientes, uma combinao de tecnologias como a baseada em rede e a baseada em host necessria para a soluo eficiente e efetiva do IDP. Tecnologias IDP sem fio tambm pode ser necessrias se a organizao quiser garantir que as mesmas precisam de proteo e monitoramento adicional. Tecnologias de deteco de comportamento anmalo de rede (NBAD Network Behavior Anomaly Detection) podem tambm ser implementadas se a organizao desejar recursos de proteo adicional para ataques de negao de servios, worms, e outras ameaas que os NBAD esto preparados para detectar. Organizaes que planejam usar mltiplos tipos de tecnologias IDP ou mltiplos produtos da mesma tecnologia IDP, deveriam considerar os pontos de integrao destas tecnologias (ou a inexistncia destes pontos). A integrao IDP freqentemente realizada quando uma organizao utiliza vrios produtos IDP de um nico vendor, por ter um nico console que pode ser usado no gerenciamento e monitoramento de mltiplos produtos. Alguns produtos podem tambm compartilhar dados, o que aumenta a velocidade de anlise e ajuda aos usurios a melhor priorizar as ameaas. Uma forma mais limitada da integrao direta o uso de produtos IDP que fornece dados para outro. Integrao indireta de IDPs so realizadas por softwares de segurana de informao e gerenciamento de eventos (SIEM Security Information and Event Management), que so desenvolvidos para importar informaes de vrios logs de segurana relacionados, bem como efetuar a correlao de eventos entre os mesmos. Softwares SIEM complementam os IDPs de formas diversas, incluindo a correlao de eventos por diferentes tecnologias, visualizao de dados de vrias fontes de eventos e provendo informao de suporte para outras fontes, ajudando os usurios a determinar a exatido dos alertas IDP. Antes de avaliar os produtos IDP, as organizaes deveriam definir os requisitos dos produtos devem satisfazer. Os tcnicos que efetuam a avaliao precisam entender as caractersticas do sistema organizacional e ambientes de rede, ento um IDP pode ser

selecionado de forma a ser compatvel com estes requisitos, tornando-se, assim, pronto para efetuar monitoramento dos eventos de interesse nos sistemas e/ou redes. Os objetivos e metas devem ser articulados, de forma a serem alcanados pelo uso de um IDP, como a deteco e preveno de ataques comuns, identificao de erros de configurao de dispositivos de rede sem fio, e deteco de uso incorreto dos sistemas e recursos de rede das organizaes. Devem tambm ser revistas as polticas de segurana existentes, as quais servem como especificao bsica para muitos dos recursos que os produtos IDP devem prover. Adicionalmente, deve-se analisar os pontos de auditoria externas, bem como a necessidade de produtos especficos para satisfazer essa necessidade, ou no. Deve-se levar em considerao as restries de recursos. Deve-se, ainda, considerar a necessidade de definio dos seguintes grupos de requisitos: Condies de segurana incluindo coleta de dados, registro de log, deteco e preveno; Performance incluindo capacidade mxima e dispositivos para mensurao de performance; Gerenciamento incluindo projeto e implementao, operao e manuteno (software updates), treinamento, documentao e suporte tcnico; Ciclo e vida e custos.

Durante a fase de avaliao de produtos IDP, as organizaes devem considerar o uso da combinao de vrias fontes de dados, nas caractersticas de recursos dos produtos. Fontes de dados comuns desse produtos incluem testes de laboratrio ou testes de aplicaes reais, informao fornecida pelo vender, revises de terceiros e/ou experincia por outros profissionais dentro da organizao ou recomendaes de outras organizaes. Quando do uso de dados por outras partes, organizaes devem considerar se as mesmas so fidedignas, Infelizmente IDPs no fornecem resultados de deteco completamente exatos. A gerao de falsos positivos (evento normal tomado como ato de intruso) e falsos negativos (eventos maliciosos vistos como trfego normal) um processo comum no uso de IDPs. Costuma-se configurar (tune) os IDPs de forma que a diminuir os falso negativos e aumentar os falsos positivos para que menos atos maliciosos tenham sucesso. No entanto, este comportamento sugere um overhead de processamento. Muitos IDPs tambm oferecem dispositivos para compensar tcnicas de evaso em ataques, que modificam o formato ou tempo da atividade maliciosa, alterando sua aparncia. A maioria dos IDPs usam mltiplas metodologias de deteco, tanto separadamente quanto integradas, para prover mais extensa e exata deteco. As principais classes de metodologias de deteco so: Baseado em assinatura: que compara assinaturas conhecidas com eventos observados. Novos tipos de ataques que no possuem uma assinatura no podem ser detectados;

Deteco baseada em comportamento anmalo: compara definies e perfis de qual atividade de rede considerada normal contra eventos observados para determinar desvios de padro. Muito bom para novos tipos de ataques. Problemas comuns a incluso de atividade normal como atividade maliciosa; Analise de protocolo Statefull: compara perfis pr determinados de definies geralmente aceitas de atividade de protocolos com desvios nos eventos analisados. Ao contrrio da metodologia anterior, esta baseia-se em perfis universais determinados e desenvolvidos por vendors que especificam como protocolos em particular devem ou no devem ser usados. Exige muito processamento e o desenvolvimento de modelos muito difcil (quase impossvel). COMPONENTES

Os componentes tpicos em uma soluo IDP so: Sensores ou Agentes: monitoram e analisam a atividade de rede. Agentes so usados em solues IDP host. Servidor de gerenciamento: dispositivo centralizado que recebe informaes dos sensores ou agentes e as gerencia. Nesse servidor ainda so correlacionados todos os eventos de todos os sensores. Servidor de base de dados: o repositrio para informaes de eventos gravados pelos sensores, agentes e/ou servidores de gerenciamento; Console: um programa que fornece uma interface para os usurios IDP e administradores.

Adicionalmente a estes componentes, tem-se: Rede de gerenciamento: este um componente que pode ou no ser aplicado, conforme o projeto. uma rede segregada apenas para os softwares de segurana, cujos dispositivos conectados so a ela por uma interface de gerenciamento.

A conexo dos dispositivos de segurana pode ser feito na prpria rede de computadores, sem a necessidade de uma rede de gerenciamento. Neste caso, sugere-se a utilizao de uma VLAN para prover proteo aos dispositivos e comunicaes IDP. No entanto, numa VLAN, a proteo contra DDoS ou outros malware ser praticamente nula. Quando a no utilizao da rede de gerenciamento, sugere-se tambm o uso de recursos criptogrficos no trfego de dados IDP.

ARQUITETURAS IDP BASEADO EM REDE

Como referido anteriormente ele monitora o trafego de rede para dispositivos ou seguimentos de rede em particular e analisa a rede e a atividade de protocolos de aplicao para identificar atividade maliciosa. Com exceo dos sensores, pode-se dizer que os IDPs baseados em rede so idnticos s outras tecnologias. Os sensores esto disponveis em dois formatos: sensores APPLIANCE (software e hardware especiais) e sensores em SOFTWARE. Como referido anteriormente, recomenda-se a utilizao de redes de gerenciamento para a implantao da estrutura de IDPs baseados em rede. Os pontos de instalao dos sensores dentro da rede de dados da corporao um ponto de importante observao. Os sensores pode ser instalados em dois modos: INLINE quando o trfego de rede flui pelo sensor; PASSIVO quando os sensores monitoram cpias do trfego de rede.

Geralmente recomenda-se o uso de sensores INLINE, pois assim os mtodos de preveno podem ser utilizados em prontido, enquanto no caso dos sensores passivos os mtodos de preveno no so usados. Os sensores podem coletar informaes como o Sistema Operacional utilizados nos hosts, a verso deste sistema operacional, quais aplicaes e verses so usadas para que os hosts se comuniquem com a rede, etc. As tecnologias IDP baseadas em rede tambm podem controlar um registro de logs extensivo, relacionado aos dados de eventos detectados; a maioria tambm realiza captura de pacotes. Portanto, a maioria dos produtos desta tecnologia oferece vastos recursos de captura e deteco. Observe-se que a combinao de metodologias como deteco baseada em assinaturas, deteco baseada em comportamento anmalo e anlise de protocolo stateful, utilizada para realizar anlises detalhadas de protocolos comuns. importante considerar esta combinao para elevar a exatido da deteco e consequentemente da ao preventiva empregada. Apesar das diversas vantagens e caractersticas positivas apresentadas acima, uma grande desvantagem a impossibilidade de detectar ataques quando o trfego feito de forma criptografada. Nesta situao sugere-se empregar uma soluo baseada em host para efetuar a anlise antes da realizao da criptografia ou aps os dados serem decifrados. Em outras palavras, deve-se empregar o IDP baseado em host nos pontos finais da comunicao. Outro ponto negativo a incapacidade dos IDPs baseados em rede no serem aptos a realizar uma anlise completa quando h uma carga excessivamente grande de trfego na rede. Recomenda-se determinar a prioridade de anlise do trfego ou simplesmente desabilitar a analise de determinados pontos quando nessa situao. Porm, os IDPs baseados em rede, por definio, acabam por ser sujeitos a ataques DDoS (grande volume de trfego). As caractersticas de preveno fornecidas pelos sensores dos IDPs baseados em rede so, por exemplo, finalizar sesses TCP (reset), realizao de inline Firewall, alterao de uso de largura de banda, alterao de contedo malicioso. Ambos, INLINE e sensores PASSIVOS, podem reconfigurar outros dispositivos de segurana, ou executar programas ou scripts de terceiros para outras aes de preveno.

Abaixo a arquitetura recomendada para implantao tanto de sensores PASSIVOS, como sensores INLINE.

SENSOR INLINE

SENSOR PASSIVO

Observe-se que os sensores INLINE atuam aps o FIREWALL. Por outro lado, sensores passivos so instalados de forma a monitorar pontos chaves de redes, exatamente em sua diviso ou segregao. Alguns mtodos de monitoramento usados pelos sensores passivos so: Spanning port, Network tap, IDS Load Balancer IDP BASEADO EM REDE SEM FIO Um IDP wireless monitora o trfego de uma rede sem fio e analisa os protocolos de rede sem fio para identificar atividades suspeitas. Os componentes da tecnologia IDP wireless so os mesmos que a baseada em rede: sensores, consoles, servidores de dados, servidores de gerenciamento. Entretanto, um sensor de IDP wireless, monitora apenas um canal por vez, portanto, somente com amostras de trfego ao contrrio dos sensores de IDPs baseados em rede. Quanto maior o tempo de um canal monitorado, maior vai ser a probabilidade que o sensor perca atividade maliciosa nos outros canais. Para que isso no ocorra, os sensores trocam de canal diversas vezes por segundo. Sensores IDP wireless esto disponveis de formas diversas. Um sensor dedicado pode ser fixo ou dispositivo mvel que realiza funes IDP, mas no passa trfego de

rede da fonte ao destino. Um outro tipo de sensor wireles disponvel o que opera em conjunto com pontos de acesso de rede sem fio (APs) ou switches sem fio Pelo fato de sensores dedicados focarem-se em deteco e no se importarem com trfego wireless, eles oferecem recursos de deteco mais robustos. Entretanto, estes sensores so mais deficeis de se adquirir, instalar e manter do que os sensores acoplados em APs, pelo fato de exigirem outro hardware e software adicional. Componentes de IDP wireless sempre estaro interconectados via uma rede com cabeamento. Os controles nos pontos de separao da rede sem fio e rede com cabeamento devem ser considerados, como rede de gerenciamento e etc. A escolha da localizao dos sensores para IDPs wireless completamente diferente que em quaisquer outras tecnologias IDP. Os sensores de IDP sem fio devem ser instalados de forma que possam monitorar a abrangncia do sinal sem fio. Muitas vezes os sensores devem ser instalados onde no deveria haver atividade de rede sem fio dentro da organizao, analogamente tm-se os canais e bandas. Outras consideraes: segurana fsica do sensor, abrangncia, disponibilidade de conexo a rede cabeada, custo e localizaes de APs/switches, conforme a figura abaixo.

IDP Wireless Os IDPs wireless podem detectar ataques, erros de configuraes e violaes da poltica de segurana em nvel de protocolo WLAN.

Os IDPs wireless, assim como as outras tecnologias IDP, necessitam de configuraes a ajustes de sintonia para uma melhor performance. Porem, as tecnologias wireless normalmente oferecem uma maior exatido na ao de deteco, muito devido ao seu escopo mais reduzido. Algumas das configuraes so a definio dos APs, WLANS e STAs (estaes, como laptops, PDAs. Etc) esto com acesso permitido e as caractersticas de poltica para cada dispositivo. Outro ponto importante so as reestruturaes organizacional que devem ser levadas em conta. fsicas do ambiente

Pontos negativos de IDPs wireless so a incapacidade de deteco de ataques passivos, como o monitoramento e processamento offline do trafego wireless. Eles tambm so sucetves a tcnicas de evaso, especialmente quelas que se baseiam no conhecimento do esquema de hops de canais do produto. Novamente, importante considerar que os produtos IDP wireless s vem parte do trfego de um canal periodicamente. Eles tambm so suscetveis a ataques de DOS. As tcnicas de preveno abordadas so a instruo para trmino de sesso do endpoint, e a preveno de uma nova sesso ser estabelecida. Alguns sensores podem instruir que APs ou switches bloqueiem a atividade de um STA em particular. No entanto, este mtodo pode bloquear a comunicao com a rede cabeada e no bloquer as atividades maliciosas do STA. Normalmente os sensores possuem dois rdios: um para monitoramento e outro para realizar aes de preveno. IDP BASEADO COMPORTAMENTO ANMALO DE REDE - NBAD Como referido anteriormente, estes examinam e fazem anlise estatstica do trafego de rede para identificar ameaas que gerem um trafego de rede anormal, como ataques DDoS, escaneamento de portas e alguns tipos de malware e etc. A maioria dos IDPs NBAD no possuem servidores de gerenciamento ou servidores de banco de dados, apenas sensores e consoles. Os sensores NBAD podem ater-se ao escaneamento direto do trfego da rede (sniffing) ou somente nas informaes de fluxo fornecidas por roteadores e outros dispositivos. Os sensores podem ser instalados em modo passivo somente na maioria dos IDPs NBAD anlogo aos mtodos pelo IDP baseado em rede (porta de spanning, network tap). Devem ser instalados em pontos chaves da rede. divises ou segregaes da rede, segmentos chaves de rede, como DMZ. Sensores INLINE so recomendados para uso no permetro da rede, assim estes seriam instalados com maior proximidade dos firewalls de pemetro, sempre em frente destes, para abranger ataques que podem afetar os firewalls. A figura abaixo representa mais claramente o explicitado:

IDP NBAD Os IDPs NBAD podem oferecer recursos extensos de obteno de informao, coleo de informao detalhada em cada host observado e constante monitoramento da atividade de rede. Eles realizam uma compreensiva analise de log de dados relacionada aos eventos detectados. Conseguem detectar ataques dom DoS, escaneamento, worms, servios de aplicaes inesperados e violaes de poltica. Pelo fato dos sensores trabalharem primariamente detectando desvios significativos do comportamento normal, eles so mais precisos detectando ataques que geram grande quantidade de atividade de rede em um curto perodo de tempo, alm de ataques que tem um fluxo incomum de dados. A maioria dos produtos podem tambm reconstruir uma srie de eventos observados para determinar a origem da ameaa. A atualizao destes produtos deve ser automtica. Como resultado, configuraes e determinaes de sintonia (tuning) no so extensas. Pouqussimos produtos NBAD oferecem customizaes para assinaturas, o que muito til para sensores INLINE porque eles podem usar as assinaturas para encontrar e bloquer um ataque que um firewall ou roteador no tenha sido capaz de bloquear. . recomendvel que os administradores mantenham os IDPs cientes da estrutura de hosts e outros dispositivos de rede (inventrio), assim as configuraes e

sintonia tendem a ser mais exatas com o padro normal de trfego de rede, gerando menos falsos positivos. As limitaes desta tecnologia so: demora de deteco, pois depende de informaes advindas de dispositivos de rede como firewalls, roteadores o que as vezes demorado. Ataques que acontecem de forma rpida so dificilmente detectados. Uma soluo para isso a utilizao pelos sensores de seu prprio recurso de captura e analise de pacotes, mas precisa de muitos recursos para realizao disto. IDP BASEADO EM HOSTS Monitora as caractersticas de um nico host e os eventos que ocorrem no mesmo de forma suspeita. Podem monitorar conexes de rede por cabeamento ou sem fio, logs de sistema, processos em execuo, acessos de arquivos e modificaes e alteraes de configuraes de sistema e aplicativos. Os AGENTES ficam instalados nos hosts de interesse, cada agente monitora a atividade em um nico host, na hiptese de ter recursos, tambm realiza aes de preveno. Os agentes transmitem dados aos servidores de gerenciamento. Cada agente desenvolvido para proteger um servidor, um desktop ou laptop ou um servio de aplicao. A arquitetura muito simples. Os agentes so instalados em hosts existentes nas redes das organizaes e se comunicam pela rede de dados, ao invs de usar uma rede de gerenciamento. Sugere-se que o IDP Host seja instalado em servidores crticos, mas a aplicao destes em desktops, laptops e outros servidores. importante considerar o fato de que algumas informaes em hosts no podem ser monitoradas. Afigura abaixo representa o descrito:

IDP hosts

Durante a instalao de alguns agentes, comoum a alterao da arquitetura interna dos hosts. Algumas camadas, chamadas shims ou calos, de cdigo so implementadas. Apesar de ser menos intrusivo, a no utilizao destes shims menos precisa e as aes de preveno menos eficientes. Dentre os recursos esto o extensivo controle de log de dados relacionados a eventos detectados e podem ser detectados diversos tipos de atividade maliciosa. Tcnicas de deteco, incluindo analise de cdigo, analise de trfego de rede, filtro de trfego de rede, monitoramento de sistema de arquivos, analise de log e monitoramento de configurao de rede. A combinao de diversas tcnicas de deteco tendem a ser mais precisas, pois podem monitorar diferentes caractersticas dos hosts. Devem ser determinadas quais caractersticas devem ser monitoradas para seleo dos produtos IDP. As solues de IDP host geralmente necessitam de bastante configuraes e sintonia, devido as diferenas intrnsecas de atividade de cada host (programao, entre outros. Limitaes: Tcnicas de deteco peridicas (poucas vezes ao dia) incidentes podem ocorrer nesse meio tempo; Envio de dados de alerta aos servidores de gerenciamento em batch somente em algumas horas por dia demora pra aes de resposta; Consumo de recursos no host pelos agentes; Conflitos com outros sistemas como firewalls pessoais, clientes VPN, etc.

Recursos de preveno: Tcnicas de anlise de cdigo para prevenir que cdigos maliciosos sejam executados efetivo para ataques desconhecidos; Analise de trafego de rede, pode impedir que trafego de entrada ou sada que contenha ataques de camada de rede, transporte ou aplicao, ataques de protocolo wireless e outras aplicaes no autorizadas e protocolos. Filtro de trafego de rede, funciona como um firewall baseado em host e pra acessos no autorizados e aceita o uso de polticas, negando violaes as mesmas. Monitoramento de sistema de arquivos que preveni que os arquivos sejam acessados, modificados, substitudos ou apagados, consequentemente a instalao de um malware. Restries em medias removveis; Deteco de ativao ou uso de dispositivos audiovisuais; Monitoramento do status de processos em execuo e falhas de reinicializao de outros processos.

CONCLUSO As tecnologias e metodologias aplicadas aos IDP variam consideravelmente, assim como variam as necessidades de uma organizao para outra. Recomendase,tambm estudar e avaliar as diversas solues IDP disponveis no mercado para adquirir as que mais se adequam s necessidades. Mltiplas plataformas IDP de fornecedores distintos sugerem grande necessidade de interao. O uso de ferramentas como SIEM Security Information and Event Management Software pode auxiliar muito nessa interao. Adicionalmente alguns requisitos gerais precisam ser definidos para grupos mais especializados de necessidades: Recursos de segurana, incluindo obteno de informaes, log, deteco e preveno; Performance, performance; incluindo capacidade mcima e dispositivos de

Gerenciamento, incluindo projeto e implementao, operao e manuteno e treinamento, documentao e suporte tcnico; Custo de ciclo de vida, tanto inicial como custo de manutenao.