Ir para seção

O que é um sistema de prevenção e detecção de invasões (IDPS)?

Publicado 27 de setembro de 2023
Copiar URL

Visão geral

Com um sistema de prevenção e detecção de invasões (IDPS), você tem uma solução para monitorar redes em busca de ameaças e interromper quaisquer ameaças detectadas.

O IDPS está relacionado ao sistema de detecção de invasões (IDS). Embora ambos detectem ameaças e enviem alertas, o IDPS também atua para corrigir esses problemas.

Um IDPS também pode ser chamado de sistema de prevenção de invasões (IPS). Os termos IDPS e IPS são usados como se tivessem o mesmo significado. No entanto, quando alguém se refere a um IPS, normalmente está falando da função de identificação de ameaças de um IDPS.

Descubra como a automação simplifica as operações de segurança

Como um IDPS funciona?

Um IDPS opera de diferentes maneiras, dependendo do fornecedor, do método de implantação escolhido e das necessidades da empresa.

Tipos de IDPS

IDPS baseado em rede

O IDPS baseado em rede (NIPS) é instalado em pontos específicos da rede para monitorar o tráfego e buscar ameaças. Para fazer isso, o NIPS analisa e compara as atividades com um banco de dados de ataques conhecidos, configurado manualmente por um especialista em segurança. Se a atividade corresponder a uma ameaça conhecida do banco de dados, não será permitido que ela prossiga pela rede. Muitas vezes, um NIPS é implantado nos limites das redes, como em roteadores e modens, atrás de firewalls e em pontos de acesso remoto.

Há duas subcategorias de NIPS:

  • Sistema de prevenção de invasões sem fio (WIPS): monitora redes sem fio em busca de pontos de acesso não autorizados e dispositivos desconhecidos. Isso é feito ao analisar as frequências de rádio da rede. O WIPS é implantado em redes sem fio e em locais vulneráveis a acessos não autorizados.
  • Sistema de análise de comportamento de rede (NBA): verifica o tráfego da rede em busca de padrões de atividade incomuns. Por exemplo, em um ataque de negação de serviço distribuída (DDOS), milhares de solicitações são enviadas à rede para causar sobrecarga. Qualquer uma dessas solicitações, isoladamente, pode parecer válida, mas acontecendo simultâneamente  indicam um problema. Muitas vezes, os sistemas de NBA reforçam um NIPS padrão nas redes internas das empresas.

IDPS baseado em host

O IDPS baseado em host (HIPS) é implantado em um único host (normalmente um servidor importante com dados essenciais) ou em servidores públicos que são gateways para a rede interna de uma empresa. Um HIPS monitora, especificamente, o fluxo do tráfego no próprio sistema host. O HIPS costuma ser configurado para detectar atividades no conjunto de protocolos da internet e sistema operacional host (TCP/IP).

Métodos de detecção

Depois que é implantado, o IDPS usa diversas técnicas para identificar ameaças. Elas costumam ser divididas em três categorias:

  • A detecção de ameaças baseada em assinaturas compara as atividades monitoradas com um banco de dados repleto de assinaturas de ameaças já identificadas. Uma assinatura é um identificador ou padrão exclusivo. Embora esse método seja eficaz na detecção de ameaças bem conhecidas, ameaças novas passarão despercebidas.
  • A detecção de ameaças baseada em anomalias compara uma seleção aleatória de atividades de rede a um parâmetro de referência. Quando a seleção aleatória é diferente o suficiente da referência, a ameaça desencadeia uma ação. Embora esse método de detecção identifique ameaças novas, ele também cria mais falsos positivos do que a detecção baseada em assinaturas. A detecção de ameaças baseada em anomalias é o aspecto do IDPS que mais se beneficia dos avanços nos algoritmos de inteligência artificial e machine learning.
  • A detecção de ameaças baseada em protocolos (ou políticas) é similar ao método baseado em assinaturas. No entanto, ela usa um banco de dados de protocolos específicos definidos pela empresa, bloqueando todas as atividades que violem essas diretrizes. Os protocolos são configurados manualmente por um especialista em segurança.

Ações de prevenção

Depois que o IDPS detecta uma possível ameaça, ele pode tomar diversas medidas dependendo de como foi configurado e do tipo de risco. Ações preventivas típicas contra ataques incluem:

  • Alertar administradores: esse é o tipo mais básico de resposta. O IDPS alerta os administradores de segurança, como em um sistema de detecção de invasões. Esse tipo de alerta é gerado em situações em que uma ação automática pode não ser adequada ou quando o sistema não tem certeza se está diante de um falso positivo.
  • Empregar a vigilância baseada em banimento: o IDPS interrompe os incidentes antes que tenham a chance de ocorrer, bloqueando o tráfego ou usuários sinalizados provenientes de um endereço IP perigoso. Um exemplo comum é bloquear endereços IP que tentam inserir senhas incorretas diversas vezes.
  • Alterar o ambiente de segurança: assim como a vigilância baseada em banimento, essa técnica altera a configuração de segurança da rede para impedir que uma ameaça ganhe acesso. Um exemplo disso seria reconfigurar o firewall.
  • Modificar o conteúdo do ataque: essa técnica envolve alterar automaticamente o conteúdo do ataque. Por exemplo, se um email suspeito for sinalizado, o IDPS removerá todos os aspectos da mensagem que possam incluir conteúdo malicioso para a rede, como os anexos.

Benefícios de um IDPS

O IDPS é uma ferramenta útil para suas equipes de segurança empresarial e para a organização como um todo. Ele ajuda você a:

  • Verificar atividades e responder a ameaças sem intervenção humana: embora ameaças complexas frequentemente exijam intervenção humana, um IDPS possibilita respostas metódicas e rápidas a ameaças mais simples. Além disso, o sistema também acelera a sinalização de ameaças complexas que exigem interferência direta. Assim, as equipes de segurança podem responder às vulnerabilidades antes que elas causem danos e conseguem lidar com uma quantidade cada vez maior de ameaças.
  • Encontrar ameaças que podem passar despercebidas" o IDPS (principalmente se você usar a detecção baseada em anomalias) sinaliza ameaças que especialistas em segurança talvez não percebam.
  • Aplicar políticas de usuário e segurança de maneira contínua: como o IDPS é baseado em regras por design, a detecção de ameaças é aplicada de maneira consistente.
  • Atender aos requisitos de conformidade" quando você adota um IDPS, menos usuários precisam interagir com dados privados, o que é um requisito regulatório em vários setores.

Como a Red Hat pode ajudar?

O Red Hat® Ansible® Automation Platform usa playbooks, serviços de diretório local, logs consolidados e apps externas para automatizar soluções de proteção e capacitar as equipes de segurança da TI a responder a ameaças de maneira coordenada e unificada.

As equipes de segurança podem usar o Ansible Automation Platform para orquestrar diferentes soluções empresariais de proteção, como firewalls corporativos, sistemas de gerenciamento de eventos e informações de segurança (SIEM), IDPSs e soluções de gerenciamento de acesso privilegiado (PAM). Além disso, é possível conectar todas essas ferramentas distintas em uma infraestrutura de segurança unificada.

Por que usar o Ansible Automation Platform com um IDS ou IDPS?

O Ansible Automation Platform ajuda as empresas a automatizar suas soluções de segurança funcionando como um hub central para integrar diversas tecnologias de proteção. Os Ansible Playbooks permitem que as saídas de uma ferramenta de segurança sejam lidas automaticamente por outra. A comunicação entre várias ferramentas de segurança é um componente básico da identificação de ameaças, que é uma função central do IDPS. Com o Ansible Automation Platform, sua empresa pode:

  • Implantar novas regras de IDPS de maneira flexível e dinâmica, além de automatizar a configuração entre a nova regra e o SIEM atendente.
  • Viabilizar o gerenciamento de assinaturas para integrar atualizações automáticas a um IDPS usando as assinaturas provenientes de boletins de segurança.
  • Correlacionar pesquisas e automação de eventos nos sistemas de SIEM. Assim, os analistas podem gerar novos alertas com base nas ações ou alterações executadas em outros dispositivos de segurança.

O Ansible Automation Platform conecta soluções de segurança ao restante da infraestrutura e rede da sua empresa. Isso significa que é possível automatizar e integrar diferentes soluções de segurança para responder a ameaças de maneira coordenada e unificada. Tudo por meio de um conjunto selecionado de módulos, funções e playbooks.

Suas equipes também podem usufruir de  content collections confiáveis, certificadas pela Red Hat e por nossos parceiros. Com acesso a centenas de módulos para automatizar todos os aspectos dos processos de gerenciamento e ambientes de TI, o Ansible Automation Platform ajuda suas equipes de segurança a trabalharem juntas para proteger melhor perímetros de segurança complexos.

Explore o caso de uso da automação da segurança

Leitura recomendada

ARTIGO

O que é DevSecOps?

Se você quiser aproveitar ao máximo a agilidade e a capacidade de resposta do DevOps, a equipe de segurança da TI precisará participar de todo o ciclo de vida das suas aplicações.

ARTIGO

O que há de diferente na segurança em nuvem?

As preocupações gerais sobre a segurança afetam os sistemas de TI tradicionais e em nuvem. Descubra qual é a diferença.

ARTIGO

O que é SOAR?

Ele se refere a três importantes recursos de software usados pelas equipes de segurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças.

Leia mais sobre segurança

Soluções Red Hat

Red Hat Certificate System

Um framework de segurança para gerenciar identidades de usuários e manter a privacidade das comunicações.

Red Hat Advanced Cluster Security Kubernetes

Uma solução de segurança empresarial em containers nativa do Kubernetes  que viabiliza a criação, implantação e execução de aplicações nativas em nuvem.

Red Hat Insights

Um serviço de análises preditivas que ajuda a identificar e corrigir ameaças de segurança, desempenho e disponibilidade à sua infraestrutura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Um console individual, com políticas de segurança integradas, para controlar aplicações e clusters do Kubernetes.

Artigos relacionados

Conteúdo adicional

Ebook

Simplifique seu centro de operações de segurança

Ebook

Aumente a segurança na nuvem híbrida

Leia mais

WHITEPAPER

Uma abordagem de segurança em camadas para Kubernetes e containers

VISÃO GERAL

Como implantar uma solução DevSecOps completa

DATASHEET

Red Hat Insights: análises preditivas para o Red Hat Enterprise Linux

EBOOK

Melhore a segurança e a conformidade

RESUMO

Aumente a eficiência operacional com o Red Hat Insights