Sistema de Prevenção de Intrusões (IPS)

Um sistema de prevenção de intrusões (IPS) é um dispositivo de proteção de rede automatizado usado para monitorizar e responder a ameaças potenciais. Tal como um sistema de deteção de intrusões (IDS), um IPS determina possíveis ameaças ao examinar o tráfego da rede.

Como a exploração pode ser realizada muito rapidamente após um atacante ganhar acesso, os sistemas de prevenção de intrusões administram uma resposta automática a uma ameaça, com base em regras estabelecidas pelo administrador da rede.

As principais funções de um IPS são identificar atividades suspeitas, registar informações relevantes, tentar bloquear a atividade e, finalmente, reportá-la.

Os IPS incluem firewalls, software antivírus e software anti-spoofing. Além disso, as organizações usarão um IPS para outros fins, como identificar problemas com as políticas de segurança, documentar ameaças existentes e dissuadir indivíduos de violar as políticas de segurança. Os IPS tornaram-se um componente importante de todas as principais infraestruturas de segurança nas organizações modernas.

Como funciona um IPS

Um sistema de prevenção de intrusões funciona ao analisar ativamente o tráfego de rede encaminhado em busca de atividades maliciosas e padrões de ataque conhecidos. O motor IPS analisa o tráfego de rede e compara continuamente o fluxo de bits com a sua base de dados interna de assinaturas para padrões de ataque conhecidos. Um IPS pode descartar um pacote determinado como malicioso e seguir esta ação bloqueando todo o tráfego futuro do endereço IP ou porta do atacante. O tráfego legítimo pode continuar sem qualquer interrupção percebida no serviço.

Os sistemas de prevenção de intrusões também podem realizar observações e análises mais complexas, como monitorizar e reagir a padrões ou pacotes de tráfego suspeitos. Os mecanismos de deteção podem incluir:

• Correspondência de moradas
• Correspondência de string e substring HTTP
• Correspondência genérica de padrões
• Análise de conexão TCP
• Deteção de anomalias de pacotes
• Deteção de anomalias de tráfego
• Correspondência de porta TCP/UDP

Um IPS registará normalmente informações relacionadas com eventos observados, notificará os administradores de segurança e produzirá relatórios. Para ajudar a proteger uma rede, um IPS pode receber automaticamente atualizações de prevenção e segurança para monitorizar e bloquear continuamente as novas ameaças da Internet.

Contramedidas de intrusão

Muitos IPS também podem responder a uma ameaça detectada, prevenindo ativamente o seu sucesso. Utilizam várias técnicas de resposta, que envolvem:

• Alterar o ambiente de segurança — por exemplo, configurando uma firewall para aumentar as proteções contra vulnerabilidades anteriormente desconhecidas.
• Alterar o conteúdo do ataque — por exemplo, substituindo partes maliciosas de um e-mail, como links falsos, por avisos sobre o conteúdo eliminado.
• Envio de alarmes automáticos aos administradores do sistema, notificando-os de possíveis falhas de segurança.
• A descartar pacotes maliciosos detetados.
• Redefinir uma ligação.
• Bloquear o tráfego do endereço IP infrator.

Classificações de IPS

Os sistemas de prevenção de intrusões podem ser organizados em quatro tipos principais:

• Sistema de prevenção de intrusões baseado em rede (NIPS): Analisa a atividade do protocolo em toda a rede, procurando por qualquer tráfego não confiável.
• Sistema de prevenção de intrusões sem fios (WIPS): Analisa a atividade do protocolo de rede em toda a rede sem fios, procurando qualquer tráfego não confiável.
• Sistema de prevenção de intrusões baseado em host (HIPS): Um pacote de software secundário que segue um único host para atividade maliciosa e analisa eventos que ocorrem dentro desse host.
• Análise de comportamento de rede (NBA): Examina o tráfego de rede para identificar ameaças que geram fluxos de tráfego estranhos. As ameaças mais comuns são ataques de negação de serviço distribuídos, várias formas de malware e abusos de políticas. correspondência de padrões para detectar ataques. Ao fazer pequenos ajustes na arquitetura de ataque, a detecção pode ser evitada.

Métodos de deteção de IPS

A maioria dos sistemas de prevenção de intrusões utiliza um de três métodos de deteção: baseado em assinaturas, baseado em anomalias estatísticas e análise de protocolo com estado.

• Deteção baseada em assinaturas: IDS baseada em assinaturas monitoriza pacotes na rede e compara com padrões de ataque pré-determinados, conhecidos como “assinaturas”.
• Deteção baseada em anomalias estatísticas: Um IDS baseado em anomalias monitorizará o tráfego da rede e compará-lo-á com os padrões de tráfego esperados. A linha de base identificará o que é "normal" para essa rede — que tipo de pacotes geralmente passam pela rede e que protocolos são utilizados. No entanto, pode gerar um alarme falso positivo para o uso legítimo de largura de banda se as linhas de base não estiverem configuradas de forma inteligente.
• Detecção de análise de protocolo com estado: Este método identifica desvios de protocolo comparando eventos observados com perfis de atividade pré-determinados de atividade normal.

Os ambientes empresariais modernos em rede exigem um elevado nível de segurança para garantir uma comunicação segura e confiável de informações entre várias organizações. Um sistema de prevenção de intrusões atua como uma tecnologia de proteção adaptável para a segurança do sistema após as tecnologias tradicionais. A capacidade de prevenir intrusões através de uma ação automatizada, sem necessitar de intervenção de TI, significa custos mais baixos e maior flexibilidade de desempenho. Os ataques cibernéticos só se tornarão mais sofisticados, por isso é importante que as tecnologias de proteção se adaptem juntamente com as suas ameaças.