Capítulo 9. Detecção de Invasão

Uma propriedade de valor necessita de proteção contra ações de roubo e destruição. Algumas casas são equipadas com sistemas de alarme capazes de deter ladrões, notificar as autoridades na ocasião de uma invasão e inclusive alertar o proprietário quando sua casa estiver sendo incendiada. Tais medidas são necessárias para assegurar a integridade das casas e a segurança de seus proprietários.

A mesma garantia de integridade e segurança também deve ser aplicada a sistemas de dados e computadores. A Internet facilitou o fluxo de informações, tanto pessoais como financeiras. Ao mesmo tempo, também deu margem a muitos perigos. Usuários maléficos e crackers procuram alvos vulneráveis como sistemas não seguros, sistemas infectados com vírus trojans e redes rodando serviços não seguros. São necessários alarmes para notificar os administradores e membros da equipe de segurança que uma intrusão ocorreu para que eles possam agir em tempo real contra tal intrusão. Sistemas de detecção de intrusão foram elaborados para agirem como este sistema de alerta.

9.1. Definindo Sistemas de Detecção de Intrusão

Um sistema de detecção de intrusão (intrusion detection system, IDS) é um processo ou dispositivo ativo que analisa as atividades do sistema e da rede e identifica entradas não autorizadas e/ou atividades maléficas. A maneira como um IDS detecta anomalias pode variar amplamente; no entanto, o objetivo final de qualquer IDS é capturar os infratores na ação antes de realmente danificarem seus recursos.

Um IDS protege um sistema de ataques, mal-uso e danos. Também pode monitorar as atividades da rede, auditorar as configurações da rede e do sistema para detectar vulnerabilidades, analisar integridade de dados e muito mais. Dependendo dos métodos de detecção que você escolher aplicar, há diversos benefícios diretos e casuais em utilizar um IDS.

9.1.1. Tipos de IDS

Entender o que é um IDS e as funçionalidades que ele oferece é essencial para determinar qual será o tipo apropriado para incluir em suas normas de segurança em informática. Esta seção aborda os conceitos por trás dos IDSs, as funcionalidades de cada tipo de IDS e a emergência de IDSs híbridos que aplicam diversas técnicas de detecção e ferramentas em um pacote.

Alguns IDSs são baseados no conhecimento, que alertam prioritariamente os administradores de segurança antes de uma intrusão ocorrer utilizando um banco de dados de ataques comuns. Alternativamente, há alguns IDS comportamentais que rastreiam todos os usos de recursos para encontrar anomalias, que normalmente são sinais positivos de atividades de maléficas. Alguns IDSs são serviços isolados que trabalham por trás do cenário e monitoram passivamente as atividades, registrando quaisquer pacotes suspeitos vindos de fora. Outros IDSs combinam ferramentas de sistema padrão, configurações alteradas e registro verbal, juntamente à intuição do administrador e sua experiência em criar um kit de detecção de intrusão poderoso. Avaliar as diferentes técnicas de detecção pode ajudar a encontrar uma que seja correta para sua organização.