O blog da segurança de dentro para fora Blog   /  

IDS x IPS: Qual é a diferença?

IDS x IPS: Qual é a diferença?

Conteúdos

    Os Sistemas de Detecção de Intrusão (IDS) analisam o tráfego de rede para detectar assinaturas de ataques cibernéticos conhecidos. Os Sistemas de Prevenção de Intrusão (IPS), além de analisar pacotes, também podem bloqueá-los com base no tipo de ataques que detectam, o que ajuda a interromper esses ataques.

    Como funcionam os Sistemas de Detecção de Intrusão (IDS) e os Sistemas de Prevenção de Intrusão (IPS)

    Tanto os sistemas IDS quanto os IPS fazem parte da infraestrutura de rede. Os sistemas IDS/IPS comparam os pacotes de rede com um banco de dados de ameaças cibernéticas contendo assinaturas conhecidas de ataques cibernéticos e sinaliza todos os pacotes que correspondam a essas assinaturas.

    Receba gratuitamente o e-book Pentesting
    Active Directory Environments

    A principal diferença entre os dois é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle.

    O IDS não modifica os pacotes de rede de forma alguma, enquanto o IPS impede a transmissão de pacotes com base em seu conteúdo, da mesma forma que um firewall bloqueia o tráfego com base no endereço IP.

    • Sistemas de Detecção de Intrusão (IDS): analisam e monitoram o tráfego da rede para detectar sinais de que invasores estão usando uma ameaça cibernética conhecida para se infiltrar ou roubar dados da sua rede. Os sistemas IDS comparam a atividade atual da rede com um banco de dados de ameaças conhecidas para detectar vários tipos de comportamentos, como violações de políticas de segurança, malware e scanners de portas.
    • Sistemas de Prevenção de Intrusão (IPS): atuam na mesma área da rede que um firewall, entre o mundo externo e a rede interna. Os sistemas IPS rejeitam proativamente o tráfego de rede com base em um perfil de segurança se esse pacote representar uma ameaça de segurança conhecida.

    Muitos provedores de IDS/IPS integraram novos sistemas IPS com firewalls para criar uma tecnologia de Gerenciamento Unificado de Ameaças (UTM), que combina a funcionalidade desses dois sistemas semelhantes em uma única unidade. Alguns sistemas integram as funcionalidades de um IDS e um IPS em uma unidade.

    As diferenças entre os sistemas IDS e IPS

    Diagrama de Venn para IDS x IPS

    Tanto os sistemas IDS quanto os IPS leem pacotes de rede e comparam seu conteúdo com um banco de dados de ameaças conhecidas. A principal diferença os dois é o que acontece a seguir. Os sistemas IDS são ferramentas de detecção e monitoramento que não agem por conta própria. Já os IPS são sistemas de controle que aceitam ou rejeitam um pacote com base em um conjunto de regras.

    Com os IDS, é necessário que um humano ou outro sistema assuma o controle para analisar os resultados e determinar quais ações devem ser tomadas, o que pode representar um trabalho em tempo integral, dependendo da quantidade diária de tráfego de rede gerado. Os IDS são uma ferramenta forense post-mortem muito boa para o grupo CSIRT, que pode usá-los como parte de suas investigações de incidentes de segurança.

    Por outro lado, o objetivo dos IPS é capturar pacotes perigosos e removê-los antes que atinjam seu alvo. É mais passivo que um IDS e simplesmente requer que o banco de dados seja atualizado regularmente para incluir informações sobre novas ameaças.

    *Destaque: a eficácia do IDS e do IPS é tão boa quanto a de seus bancos de dados de ataques cibernéticos. Você deve mantê-los atualizados e se preparar para fazer ajustes manuais quando um novo ataque surgir e/ou a assinatura do ataque estiver faltando no banco de dados.

    Por que os sistemas IDS e IPS são essenciais para a cibersegurança

    o que os sistemas ids e ips abrangem

    As equipes de segurança enfrentam um risco crescente de vazamento de dados e multas por não conformidade. Ao mesmo tempo, elas continuam enfrentando problemas de restrições orçamentárias e políticas corporativas. A tecnologia IDS/IPS abrange tarefas específicas e importantes em termos de estratégia de cibersegurança:

    • Automação: os sistemas IDS/IPS são em grande parte automáticos, o que os torna candidatos perfeitos para integração na pilha de segurança atual. Os sistemas IPS oferecem a tranquilidade de que a rede está protegida de ameaças conhecidas com requisitos de recursos limitados.
    • Conformidade: no contexto de conformidade, muitas vezes é necessário comprovar que você investiu em tecnologias e sistemas dedicados à proteção dos seus dados. A implementação de uma solução IDS/IPS permite satisfazer uma condição de conformidade e realizar diversas verificações de segurança do CIS. Acima de tudo, os dados de auditoria são uma parte essencial das investigações de conformidade.
    • Aplicação de políticas: os sistemas IDS/IPS são configuráveis para ajudar a aplicar políticas de segurança internas no nível da rede. Por exemplo, se você usar apenas uma VPN, poderá usar o IPS para bloquear o tráfego de outra VPN.

    O Varonis DatAlert complementa os sistemas IDS/IPS: enquanto a segurança da rede é fundamental para proteger contra vazamentos de dados — e as soluções IDS/IPS cumprem perfeitamente esse papel —, a Varonis monitora a atividade de dados em tempo real, que é uma camada crítica em qualquer estratégia de cibersegurança.

    Quando um novo ataque de ransomware aparece, os sistemas IDS/IPS podem não ter as assinaturas necessárias para bloquear o ataque no nível da rede. A solução da Varonis, por outro lado, não apenas incorpora detecção de ransomware baseada em assinatura, mas também reconhece as características e o comportamento de um ataque de ransomware (por exemplo, a modificação em pouco tempo de um grande número de arquivos) e aciona automaticamente um alerta para interromper o ataque antes que ele se espalhe.

    Quer ver na prática? Faça uma demonstração individual para ver como a Varonis complementa seus sistemas IDS/IPS para uma forte estratégia de cibersegurança.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Twitter, Reddit, or Facebook.

    We're Varonis.

    We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

    How it works