‎Host Based

31

‎Net Based
60

‎ ra unicamente baseada em proteção de

E
‎perímetro - FIREWALL
‎ ombinação de pontos fortes do HIDS e
C
‎NIDS ‎ assa a usar o acompanhamento e
P
‎9. Pontos de implementação ‎Mudança de abordagem
‎monitoramento das atividades internas
‎ ersiste o problema da escalabilidade
P
‎pois um IDS híbrido precisa ser instalado ‎Novas camadas de segurança
‎em cada equipamento
‎ cesso a recursos internos concedidos a
A
‎Usado principalmente nos bolsões e DMZ ‎parceiros
‎Híbrido - Conjunto dos dois

‎ um HIDS que opera como um NIDS e

É ‎ ermitido o acesso, as atividades devem
P
‎não o inverso ‎ser controladas e monitoradas
‎Bolsões de segurança

‎ rocessa pacotes endereçados ao próprio

P ‎1. Conceitos ‎ ecursos acessados tanto por usuários
R
‎sistema antes de subir a pilha TCP/IP ‎internos quanto externos

‎Não confundir Hybrid com HIDS ‎ onitoramento é estendido aos usuários

M
‎internos

‎ iferem no tipo de tratamento dado à

D
‎intrusão

‎IDS: Geram alarmes

44

I‎ PS: Executam contramedidas (

‎interrupções de fluxos de dados)
‎ . Evolução do ambiente
2
‎cooperativo
‎apenas detecta, mas não barra o ataque

‎após detecção, um evento é gerado

‎Passiva ‎ onsiderando, didaticamente, um modelo
C
‎de 5 camadas DE SEGURANÇA
‎ alsos Positivos são interpretados
F
‎cabe ao administrador tratar o evento ‎pelo Administrador
‎Filtragens nos níveis 1, 3 e 5

‎Realiza contramedidas já programadas ‎Autenticação nos níveis 2 e 4

‎Natureza dos IDS
‎ rocessos automatizados sem
P ‎DMZ ‎1 e 2
‎intervenção do Administrador
‎Rede interna ‎1, 3, 4 e 5
‎ alsos positivos têm impacto maior que
F
‎no modo passivo
‎Ativa (pós-detecção) ‎3. Níveis hierárquicos de defesa
‎IPS previne
‎Não se confunde com IPS
‎IDS se recupera
‎8. IDS X IPS x Antivírus
‎ diferença é que o IPS está em modo IN-
A
‎LINE com o firewall
‎ nowledge-Based-Intrusion Detection ou
K
‎ etectar os vírus e suas variantes
D ‎Misuse (uso incorreto) Detection
‎baseados no comportamento ‎System / Detecção de Intrusão Baseada
‎em Conhecimento ou Sistemas de
‎Simulação de uma máquina virtual ‎detecção baseado em uso incorreto
13

‎Descompilação do código malicioso ‎ ssume que as intrusões podem ser

A
‎Uso de heurísticas e assinaturas ‎detectadas com base em desvios de
‎comportamento dos usuários ou sistemas
‎ presenta elevadas taxas de falsos-
A
‎negativos
‎ etecção de anomalias estatísticas no
D
‎tráfego ‎Baseia-se em anomalia de protocolo
‎ iz se um determinado arquivo é
D ‎Antivírus
‎SUSPEITO
"‎ Tudo o que não foi visto anteriormente é
‎perigoso"
‎ escopo de atuação do AV não se
O
‎estende à rede
‎Independe de S.O ou plataforma

‎ ehavior-Based Intrusion Detection ou

B ‎ taques sem assinaturas definidas podem
A
‎ oneypot não é necessariamente um tipo
H ‎ser capturados
‎Anomaly Detection / Detecção de
‎de IDS, mas pode ser usado para
‎Intrusão Baseada em Comportamento ou
‎aprendizado de ataques sofridos
‎Detecção de Anomalia ‎Súbito aumento de tráfego
‎ ão contém dados ou aplicações
N
‎importantes para a organização ‎ ualquer comportamento suspeito,
Q ‎Consumo repentino de CPU
‎diferente do padrão, é considerado
‎intrusivo
‎ bjetivo: Passar-se por equipamento
O ‎Acessos ou atividade de disco
‎legítimo
‎Logons
‎Conhecer as armas de meu inimigo ‎Armadilhas para hackers

‎ ode gerar falsos negativos e MUITOS

P
‎Conhecer novas classes de ataques
‎falsos positivos ‎Dependendo dos limiares ajustados

‎ ornecer ao atacante uma falsa ideia das

F
‎medidas de segurança da organização ‎6.2 Segurança de ‎Palavra chave = Heurística

‎ ão existem falsos positivos pois o

N ‎redes de ‎Tráfego suspeito detectado como suspeito
‎tráfego é real ‎Normal
‎computadores - ‎Tráfego legítimo detectado como legítimo
‎ oneynet project: Uso de vários
H
‎honeypots ‎IDS - IPS ‎Tráfego suspeito não detectado ‎Falso negativo
‎Anormal
‎ uidados devem ser tomados para que o
C ‎Resultados possíveis ‎Tráfego legítimo detectado como suspeito ‎Falso positivo
‎honeypot não seja usado como ponte
‎para outros ataques
‎ lguns sistemas de intrusão analisam o
A
‎Uso de configuração padrão ‎contexto da conexão, apresentando
‎resultados mais confiáveis
‎Sacrificial Lambs
‎ odem ser usados como pontes para
P
‎novos ataques
‎7. Honeypot ‎4. Metodologia de detecção
‎Emulam serviços ‎Facades
‎Classificação
I‎ mpede o uso como pontes para novos
‎ataques
‎baseada em identificação de penetração
‎Instrumented Systems
‎ ornece muitas informações sobre o
F ‎Em regras
‎sistema, fixando o atacante pelo interesse ‎ rocura identificar o comportamento
P
‎APROPRIADO
I‎ nserido juntamente com servidores reais
‎na DMZ ou bolsão de segurança ‎Minefield ‎ so de estatísticas também de outras
u
‎Metodologias de detecção ‎baseada em detecção de anomalias ‎redes
‎ ecebe os tráfegos considerados
R
‎suspeitos através de redirecionamento ‎Shield ‎Posicionamento ‎Muitos falsos positivos ou negativos
‎baseada em limiar
‎ ede permeada de vários honeypots de
R ‎Estatística ‎análise do conjunto
‎diversas classificações ‎Honeynet
‎baseada em perfil ‎Análise de cada elemento individualmente
‎Registro em logs é fundamental

‎ rocura identificar o comportamento

P
‎Registro de horários também
‎ESPERADO

‎ ara o CESPE, IDS, independentemente

P
‎Todo o tráfego passa pelo sistema ‎da tecnologia de detecção apresentam
‎altas incidências de falsos positivos
‎Identifica ataques ANTES da intrusão
‎IDS que operam no modo INLINE ‎ ara o CESPE, os IDS e IPS não são tão
P ‎Falsos positivos
‎eficazes
‎ isam além da detecção e da resposta, a
V
‎prevenção ‎Detecta e previne o ataque ‎Falsos negativos

‎Fim silencioso ‎IDS: Inline: Drop de conexões

‎ etectar atividades suspeitas, impróprias,
D
‎Falsos positivos são os maiores problemas ‎IDS Inline = IPS baseados em rede ‎incorretas ou anômalas ‎EM EXECUÇÃO

‎Abordagem heurística ‎ um complemento do firewall, pois

É
‎analisa aquilo permitido pelo firewall
‎Abordagem em Sandbox
‎ etectar ataques que são realizados por
D ‎Nos bolsões de segurança
‎Baseada em kernel ‎meio de portas legítimas permitidas
‎Na DMZ
‎Integrados ao kernel do host
‎Baseados em hosts ‎ etectar mudanças no funcionamento
D
‎normal
I‎ dentificam comportamentos suspeitos
‎em vez de assinaturas
‎ entativas de ataques contra qualquer
T
‎recurso da organização também podem
‎ s chamadas só chegam ao Kernel após
A ‎ser detectados
‎passarem pelas checagens feitas pelo
‎sistema ‎ lerta também sobre falhas em
A
‎dispositivos
‎Detecção simultânea ao ataque ‎Antes do firewall
‎ er o mínimo de impacto no
T
‎Posicionamento dos IPS
‎Detecção de intrusão ‎funcionamento do sistema
‎Depois do firewall
‎Detecção de erros de usuários internos ‎ er tolerante a falhas - base de
S
‎conhecimento permanente
‎ em habilitada por padrão e é utilizada
v
‎para gerenciar o equipamento ‎Command and Control ‎ oda continuamente sem interação
R
‎humana
‎Interfaces
‎ em desabilitada por padrão e é utilizada
v ‎5. Embasamento IDS ‎ esistir a tentativas de mudança -
R I‎ ntruso modifica a ferramenta para forçar
‎para analisar o tráfego ‎Monitoring Interfaces
‎subversão ‎a ocorrência de falso negativo

‎fica na frente do firewall

‎Não toma contramedidas

‎Toma contramedidas ‎Ferramenta passiva

‎Ferramenta ativa ‎ ossui alguma forma de reação como
P
‎envio de mensagens, reset na conexão,
‎ ossibilidade de reconfigurar o Firewall ou
p ‎reconfiguração de firewalls ‎reset dá feedback para o atacante
‎então cortar a conexão julgada insegura
‎ IDS: detectando ataques vindos da
N
‎ ispositivo de segurança de rede que
d ‎internet
‎monitora o tráfego e/ou atividades dos ‎6. Embasamento IPS
‎sistema em busca de comportamentos ‎A combinação é importante
‎ IDS: Servidores na DMZ, bolsões ou
H
‎maliciosos ou não desejáveis, em tempo
‎OBS: ‎rede interna
‎real, para bloquear ou prevenir essas
‎atividades
‎Híbridos atuando junto com os HIDS
‎ IPS também pode servir
O
‎secundariamente como um serviço de ‎Detecção em tempo real
‎nível de host, prevenindo atividades
‎potencialmente maliciosas ‎Registro e aprendizado do ataque
‎Ações
‎ nalisa a relevância do evento/risco e
A ‎Reconfiguração do firewall
‎bloqueia determinados eventos (
‎tratamento de ameaça) ‎Identifica a intrusão
‎Finalização das conexões
‎ qualidade de um sistema de prevenção
A
‎de intruso está em ser um excelente
‎detector de tráfego malicioso com uma
‎média de falso positivo e falso negativa
‎baixa

‎ um complemento do firewall, pois

É
‎analisa aquilo permitido pelo firewall

‎ oda continuamente sem interação

R
‎humana

‎ er tolerante a falhas - base de

S
‎conhecimento permanente

I‎ ntruso modifica a ferramenta para forçar ‎ esistir a tentativas de mudança -

R
‎a ocorrência de falso negativo ‎subversão

‎ er o mínimo de impacto no
T
‎funcionamento do sistema

‎ etectar mudanças no funcionamento

D
‎normal