IDS vs. IPS: Qual é a diferença?
Descrevemos as características, vantagens e desvantagens dos sistemas de deteção de intrusos (IDS) face aos sistemas de prevenção (IPS).
A deteção e prevenção de intrusões são dois termos gerais que descrevem as práticas de segurança das aplicações utilizadas para mitigar ataques e bloquear novas ameaças.
A primeira é uma medida reativa que identifica a deteção de intrusos. Capaz de detetar o malware existente, como troianos, portas traseiras, rootkits) e detetar ataques de engenharia social como, man in the middle, phishing que manipulam os utilizadores para o roubo de credenciais e informações confidenciais.
A segunda é uma medida de segurança proativa que utiliza um sistema de prevenção de intrusões para bloquear ataques preventivos de aplicações. Isto inclui inclusões em ficheiros remotos que facilitam as injeções de malware e injeções de SQL, utilizadas para aceder às bases de dados de uma empresa.
O que é um sistema de deteção de intrusos (IDS)?
Um IDS é um dispositivo de hardware ou uma aplicação de software que utiliza assinaturas de intrusão conhecidas para detetar e analisar o tráfego de rede de entrada e saída em busca de atividades anormais.
Isto é feito através de:
- Comparações de ficheiros do sistema com assinaturas de malware.
- Processos de digitalização que detetam sinais de padrões maliciosos.
- Monitorização do comportamento do utilizador para detetar intenções maliciosas.
- Monitorização de configurações e definições do sistema.
- Monitorização do tráfego de rede de entrada e saída dos dispositivos
Ao detetar uma violação da política de segurança, um vírus ou um erro de configuração, um IDS pode expulsar um utilizador infrator da rede e enviar um alerta ao pessoal de segurança.
Apesar dos seus benefícios, incluindo a análise aprofundada do tráfego de rede e a deteção de ataques, um IDS tem inconvenientes inerentes. Devido ao facto de utilizar assinaturas de intrusão previamente conhecidas para localizar ataques, as ameaças recentemente descobertas 0 Day podem permanecer sem ser detetadas.
Além disso, um IDS apenas deteta ataques contínuos, não ataques de entrada. Para os bloquear, é necessário um sistema de prevenção de intrusões.
O que é um sistema de prevenção de intrusões (IPS)?
Um IPS complementa uma configuração de IDS através da inspeção proativa do tráfego de entrada de um sistema para eliminar os pedidos maliciosos. Uma configuração típica de IPS utiliza firewalls de aplicações web e soluções de filtragem de tráfego para proteger as aplicações.
Um IPS evita ataques ao descartar pacotes maliciosos, bloquear IPs ofensivos e alertar o pessoal de segurança de possíveis ameaças. Este sistema geralmente usa uma base de dados preexistente para o reconhecimento de assinaturas e pode ser programado para reconhecer ataques baseados no tráfego e anomalias de comportamento.
Embora seja eficaz para bloquear os vetores de ataque conhecidos, alguns sistemas IPS têm limitações. Estes são geralmente causados por uma dependência excessiva de regras predefinidas, tornando-os suscetíveis a falsos positivos.
A Logitek otimiza a segurança da sua rede OT
Na Logitek implementamos soluções IDS/IPS para os ambientes industriais e Edge face a ambientes de missão crítica. concebidos para a sua utilização em ambientes de níveis 1-3 face a ativos de missão crítica ou no Edge. A sua transparência e a capacidade de detetar o tráfego da sua rede OT e os ativos de produção destinam-se a encaixar perfeitamente na sua rede sem interromper as operações.
Se necessitar de mais informações sobre os sistemas IDS ou IPS, não hesite em contactar-nos.
