Baixe o app para aproveitar ainda mais
Prévia do material em texto
20:xx:xx:x:00 Sistemas de Defesa IDS/IPS Disciplina: Segurança da Informação Professor(a): Jósis Alves ❑ Formação ❑ Graduação: Licenciatura em Informática – Unigranrio ❑ Especialização: Gestão Segurança da Informação e Comunicações – UnB ❑ Atuação Profissional ❑ Coordenador e Professor - Gran Cursos Online ❑ Analista Judiciário, Tecnologia da Informação – STF ❑ Professor Universitário – Graduação em Tecnologia da Informação ❑Contato josis.alves ❑Mudança de Enfoque na Segurança ▪ Primeira linha de defesa - Firewall. ▪ Segunda linha de defesa - Monitoramento interno ▪ Conceito de “Bolsões de segurança”. acesso a recursos internos concedidos a: ✓ parceiros de negócios e clientes, ✓ usuários internos. ❑ Sistema de Detecção de Intrusão (IDS) ▪ Intrusion Detection System ▪ Passivo - Detecta e alerta. ▪ Atividades suspeitas, impróprias, ou anômalas. ▪ Sniffer. Ex: o Ataques através de portas permitidas não identificados pelo firewall. ❑ Sistema de Prevenção a Intrusão (IPS) ▪ Trabalham inline ou integrados ao kernel dos hosts. ▪ Ativo: Detecta os ataques e realiza contramedidas. ▪ Atividades suspeitas, impróprias, ou anômalas. Ex.: Bloqueio de acesso ao sistema. ❑ Metodologias de detecção (IDS/IPS) ▪ Knowledge-Based Intrusion Detection (Detecção baseada em Conhecimento) - Base de dados sobre ataques conhecidos. ▪ Behavior-Based Intrusion Detection (Detecção Baseada em Comportamento) - Detecção por Anomalia. - Baseada em desvios de comportamento de usuários e sistemas. - Apresentam muitos falsos positivos. 1) Banca: FCC Órgão: ARTESP Prova: FCC - 2017 - ARTESP - Especialista em Regulação de Transporte I – Tecnologia da Informação IDS e IPS são recursos de segurança que podem ser posicionados estrategicamente dentro da rede para detectar tráfego malicioso que por ventura tenha passado pelas regras do firewall. O IDS, por exemplo, ao detectar tráfego malicioso, A) reagirá ao tráfego malicioso isolando os pacotes recebidos em uma área virtual da rede. B) interromperá o tráfego automaticamente e negará novos pacotes da mesma origem. C) gerará alarmes e/ou logs. D) bloqueará a porta de origem do tráfego na rede automaticamente. E) revidará automaticamente o ataque utilizando DoS. 2) Banca: FCC Órgão: TRE-PR Prova: FCC - 2017 - TRE-PR - Analista Judiciário - Análise de Sistemas Considere que um Sistema de Detecção de Intrusão (Intrusion Detection System − IDS) de um Tribunal foi configurado para realizar certo tipo de detecção. Um usuário, que sempre realiza o acesso à Internet no horário comercial, está sendo monitorado pelo IDS. Este IDS passou uma semana criando o perfil deste usuário e, a partir do último dia daquela semana, começou a empregar em seu perfil o horário comercial como o permitido para a utilização da Internet. Certo dia, após a detecção estar ativa, o usuário quis acessar a Internet durante a madrugada para entregar um relatório importante. Como este comportamento não estava de acordo com o perfil criado, a resposta a esta detecção realizada pelo IDS foi o bloqueio do acesso à Internet para aquele usuário. Neste caso, o IDS detectou um falso positivo. Embora isso possa ocorrer, pois o comportamento de usuários e sistemas pode variar amplamente, este tipo de detecção pode identificar novas formas de ataques. 2) Banca: FCC Órgão: TRE-PR Prova: FCC - 2017 - TRE-PR - Analista Judiciário - Análise de Sistemas O tipo relatado é denominado Detecção a) por Comportamento Esperado (Behavior-Expected Detection). b) por Assinatura (Signature Detection). c) por Anomalia (Anomaly Detection). d) Baseada em Especificação (Specification-based Detection). e) Baseada em Perfil (Perfil-based Detection). ❑ Resultados ▪ Análise esperada: ✓ Atividade suspeita detectada como suspeita. ✓ Atividade legítima detectada como legítima. ▪ Não esperado: ✓ Atividade legítima detectada como suspeita (Falso positivo) ✓ Atividade suspeita detectada como legítima (Falso negativo) ❑ Tipos em Relação à Localização ➢ IDS - IDS baseado em host (HIDS) - IDS baseado em rede (NIDS) ➢ IPS - Baseado em host (HIPS) - Baseado em rede (NIDS) ❑ Baseados em Host e Rede ✓ Host: - Monitoram acessos e alterações: Arquivos de sistema; Privilégios dos usuários; Processos do sistema; Programas em execução ✓ Rede: - Monitoram o tráfego do segmento de rede. - Interface de rede em modo promíscuo. ❑ Honeypot ▪ Tecnologia de detecção e armazenamento informações de ataques. ▪ São recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. ▪ Aprendizagem sobre ataques. 3) Ano: 2018 Banca: CESPE Órgão: ABIN Prova: CESPE - 2018 - ABIN - Oficial de Inteligência - Área 4 Acerca de prevenção e tratamento de incidentes, julgue o item seguinte. Os honeypots (potes de mel), enquanto tecnologia de detecção de intrusão, podem ser utilizados para atingir os objetivos de atrair um atacante potencial e afastá-lo de sistemas críticos e de incentivar o atacante a ficar no sistema por período de tempo suficiente para que haja resposta dos administradores, mas não para coletar informações sobre a atividade do atacante, uma vez que não foram projetados para esse fim. ( ) certo ( ) errado 4) Ano: 2020 Banca: CESPE Órgão: TJ-PA Prova: CESPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte) Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, julgue os itens a seguir. I Honeypots são sistemas planejados para atrair um atacante para uma área diferente, longe dos sistemas críticos. II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão. III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada. 4) Ano: 2020 Banca: CESPE Órgão: TJ-PA Prova: CESPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte) Assinale a opção correta. A) Apenas o item I está certo. B) Apenas o item II está certo. C) Apenas os itens I e III estão certos. D) Apenas os itens II e III estão certos. E) Todos os itens estão certos. GABARITO 1 - C 3 - errado 2 - C 4 - E 20:xx:xx:x:00
Compartilhar