Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

IDS vs. IPS: o que as organizações precisam saber para se proteger

Um IDS gera alertas para que a equipe de segurança possa agir de acordo com o problema. O IPS vai além e desliga a rede 
Emilia Bertolli
5 minuto de leitura
Ultima atualização 31 de Agosto de 2022
IDS; IPS

Conteúdo

    Sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) são categorias de ferramentas comumente usados por administradores de rede que precisam impedir que agentes mal-intencionados obtenham acesso à rede da empresa.É importante saber a diferença entre eles, quais são os melhores para determinados tipos de empresas e como maximizar sua eficácia. 

    Visão geral: IDS x IPS

    Um sistema de detecção de intrusão é mais um sistema de alerta que permite que uma empresa saiba se uma atividade anômala ou maliciosa é detectada. Um sistema de prevenção de intrusão leva essa detecção um passo além e desliga a rede antes que o acesso possa ser obtido ou para evitar movimentos adicionais em uma rede. 

    O que é um IDS? Cinco tipos e suas funções

    Um IDS monitora e detecta o comportamento em uma rede e deve ser considerado uma solução de diagnóstico. O sistema, caso detecte algo problemático, alerta a equipe de segurança para que possa intervir. 

    Os cinco tipos de IDS aproveitam dois tipos de detecção

    Detecção baseada em assinatura


    Os Sistemas de Detecção de Intrusão baseados em assinatura alertam os administradores com base em assinaturas pré-existentes que se referem a um tipo de ataque ou comportamento malicioso. Isso permite alertas precisos e automatizados porque o sistema faz referência a um banco de dados de assinaturas existentes. 

    Esse tipo de sistema geralmente procura indicadores de comprometimento, como varredura de hashes de arquivos, tráfego que vai para domínios maliciosos conhecidos, sequências de bytes maliciosas e até linhas de assunto de e-mail que são ataques de phishing 

    Detecção baseada em anomalias


    As soluções IDS baseadas em anomalias são consideradas mais eficazes que as baseadas em assinatura porque monitoram padrões de comportamento maliciosos ou suspeitos. Isso permite a detecção de novos tipos de ameaças, o que é quase impossível para sistemas baseados em assinaturas. 

    A detecção baseada em anomalias geralmente procura um comportamento diferente de uma linha de base estabelecida. Por exemplo, se o horário de trabalho normal para os funcionários foi definido, um Sistema de Detecção de Intrusão baseado em anomalia pode sinalizar um login ocorrendo no fim de semana. O sistema também pode alertar com base na quantidade de tráfego conectado à rede ou novos dispositivos adicionados sem autorização. 

    Os tipos de IDS variam com base em onde estão monitorando as ameaças e como é feita essa detecção. 

    Sistemas de detecção de intrusão de rede (NIDS)


    Um sistema de intrusão de rede monitora o tráfego por meio de vários sensores, colocados via hardware ou software, a própria rede. O sistema monitora, então, todo o tráfego que passa pelos dispositivos nos vários pontos do sensor. 

    Sistemas de detecção de intrusão de host (HIDS)


    Um HIDS é colocado diretamente nos dispositivos para monitorar o tráfego, dando aos administradores de rede um pouco mais de controle e flexibilidade. No entanto, isso pode se tornar oneroso dependendo do tamanho da organização. Se for aproveitado apenas o HIDS, a empresa teria que contabilizar cada novo dispositivo adicionado, deixando espaço para erros e, ao mesmo tempo, ocupando muito tempo da equipe de TI. 

    Sistemas de detecção de intrusão baseados em protocolo (PIDS)


    Um IDS baseado em protocolo geralmente é colocado à frente de um servidor e monitora o tráfego que flui de e para dispositivos. Isso é aproveitado para proteger usuários que navegam na internet. 

    Sistemas de detecção de intrusão baseados em protocolo de aplicativo (APIDS)


    Um APIDS é semelhante ao sistema baseado em protocolo, mas monitora o tráfego em um grupo de servidores. Isso geralmente é aproveitado em protocolos de aplicativos específicos para monitorar a atividade, ajudando os administradores de rede a segmentar e classificar melhor suas atividades de monitoramento da rede. 

    Sistemas híbridos de detecção de intrusão


    As soluções híbridas de IDS fornecem uma combinação dos tipos de detecção de intrusão acima. As ofertas de alguns fornecedores cruzam várias categorias para cobrir diversos sistemas em uma só interface. 

    O que é um IPS? Quatro tipos e como funcionam

    Um IPS tem a mesma funcionalidade que os Sistemas de Detecção de Intrusão em termos de detecção, mas também contém recursos de resposta. Uma solução IPS tem uma atuação mais abrangente e age quando um possível ataque, comportamento malicioso ou usuário não autorizado é detectado. 

    As funções específicas de um IPS dependem do tipo de solução, mas, em geral, ter um IPS instalado é útil para automatizar ações e conter ameaças sem a necessidade de um administrador. 

    Sistema de prevenção de intrusão baseado em rede (NIPS)


    Um NIPS monitora e protege uma rede inteira contra comportamentos anômalos ou suspeitos. Este é um sistema de base ampla que pode ser integrado a ferramentas de monitoramento adicionais para ajudar a fornecer uma visão abrangente da rede de uma empresa. 

    Sistema de prevenção de intrusão sem fio (WIPS)


    WIPS também são bastante comuns, muitas vezes monitorando qualquer rede sem fio de propriedade da empresa. Esse tipo é semelhante a um NIPS, mas está localizado em redes sem fio para uma detecção e resposta mais direcionados. 

    Sistema de prevenção de intrusão baseado em host (HIPS)


    O HIPS geralmente é implantado em dispositivos ou hosts-chave que uma organização precisa proteger. O sistema monitora todo o tráfego que flui através e do host para detectar comportamentos maliciosos. 

    Análise comportamental de rede (NBA)


    Ao contrário do NIPS, uma solução NBA procura por comportamentos anormais dentro dos padrões de uma própria rede, tornando-se fundamental para detectar incidentes como ataques DDoS, comportamentos contra a política e outros tipos de malware. 

    IDS vs. IPS: Semelhanças e diferenças

    Um IDS e um IPS são bastante semelhantes, principalmente devido ao seu processo de detecção similar. No entanto, suas diferenças ditam se uma organização optará por ou um outro. 

    Semelhanças

    Nas duas soluções é possível esperar um nível semelhante de: 

    Monitoramento: Ambos os sistemas monitoram redes, tráfego e atividades em dispositivos e servidores, variando apenas em quão direcionados ou amplos são seus recursos 

    Alertas: Ao descobrir uma ameaça potencial, apenas um IPS dará o próximo passo necessário, mas ambas as soluções primeiro alertam sobre a descoberta e a ação associada. 

    Aprendizado: Dependendo do sistema de detecção usado por um sistema IPS ou IDS, ambos provavelmente aprenderão a detectar comportamentos suspeitos e reduzir falsos positivos. 

    Registro: Ambos os sistemas mantêm uma conta do que é monitorado e qual ação foi tomada para que a equipe de segurança possa analisar o desempenho. 

    Diferenças

    Dependendo dos recursos de uma equipe de segurança, as diferenças entre os sistemas se tornam muito importantes: 

    Resposta: Esta é a diferença mais importante entre os dois sistemas. Um IDS para na fase de detecção, deixando a equipe de segurança livre para decidir qual ação tomar. Um IPS, dependendo das configurações e política, toma medidas para tentar conter a ameaça ou impedir que usuários não autorizados se incorporem ainda mais à rede. 

    Proteção: Devido às diferenças acima, um IPS oferece mais proteção porque age automaticamente, deixando pouco tempo para um invasor continuar comprometendo a rede. 

    Impacto: Como efeito colateral dessa automação, falsos positivos podem afetar negativamente uma operação. Um IPS pode desligar a rede ou interromper o tráfego de e para um determinado dispositivo em nome da precaução e segurança, mesmo que a ameaça não exija uma ação tão drástica ou seja fruto de um falso positivo. 

    Por que as soluções IDS e IPS são essenciais para a segurança cibernética

    As organizações não devem necessariamente considerar a escolha de uma solução em detrimento de outra. Ambas são extremamente úteis e muitos fornecedores oferecem um sistema de detecção e prevenção de intrusão, ou IDPS, como uma solução que oferece os benefícios de ambos os sistemas. 

    Os recursos de detecção e resposta provaram ser cruciais para as organizações não apenas saberem quando um ataque atingiu seu perímetro, mas também para agirem de acordo com o problema. Ao empregar soluções eficazes de detecção de resposta, as empresas capturam agentes mal-intencionados e reduzem o tempo de permanência, reduzindo o impacto que esses agentes possam ter. 

    Os líderes de segurança devem ter uma compreensão das necessidades de sua empresa, bem como uma lista de quais dados exigem monitoramento antes de escolher a solução de IDS e/ou IPS certa. Eles também devem fazer um balanço de seu próprio setor de segurança para determinar de se desejam uma solução automatizada, se têm recursos para reagir de acordo ou se preferem uma abordagem híbrida. 

    Recomendamos aproveitar os dois sistemas ou uma combinação de IDPS para uma proteção eficaz. À medida que as organizações crescem e escalam, soluções IDS/IPS adicionais podem ser utilizadas para atender servidores, redes ou dispositivos adicionais. 

    Para uma visão mais profunda da segurança da rede e como ela deve ser aprimorada, o Varonis Edge tem a solução. Solicite uma demonstração gratuita. 

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento