Segurança da Informação para Concursos - Prof Jósis Alves

Prévia do material em texto

20:xx:xx:x:00
Sistemas de Defesa
IDS/IPS
Disciplina: Segurança da Informação
Professor(a): Jósis Alves
❑ Formação
❑ Graduação: Licenciatura em Informática – Unigranrio
❑ Especialização: Gestão Segurança da Informação e Comunicações – UnB
❑ Atuação Profissional
❑ Coordenador e Professor - Gran Cursos Online
❑ Analista Judiciário, Tecnologia da Informação – STF
❑ Professor Universitário – Graduação em Tecnologia da Informação
❑Contato
josis.alves
❑Mudança de Enfoque na Segurança
▪ Primeira linha de defesa - Firewall. 
▪ Segunda linha de defesa - Monitoramento interno
▪ Conceito de “Bolsões de segurança”. 
acesso a recursos internos concedidos a: 
✓ parceiros de negócios e clientes, 
✓ usuários internos.
❑ Sistema de Detecção de Intrusão (IDS)
▪ Intrusion Detection System
▪ Passivo - Detecta e alerta. 
▪ Atividades suspeitas, impróprias, ou anômalas.
▪ Sniffer.
Ex: 
o Ataques através de portas permitidas não identificados pelo firewall.
❑ Sistema de Prevenção a Intrusão (IPS)
▪ Trabalham inline ou integrados ao kernel dos hosts.
▪ Ativo: Detecta os ataques e realiza contramedidas.
▪ Atividades suspeitas, impróprias, ou anômalas.
Ex.: Bloqueio de acesso ao sistema.
❑ Metodologias de detecção (IDS/IPS)
▪ Knowledge-Based Intrusion Detection (Detecção baseada em Conhecimento)
- Base de dados sobre ataques conhecidos.
▪ Behavior-Based Intrusion Detection (Detecção Baseada em Comportamento) 
- Detecção por Anomalia.
- Baseada em desvios de comportamento de usuários e sistemas.
- Apresentam muitos falsos positivos.
1) Banca: FCC Órgão: ARTESP Prova: FCC - 2017 - ARTESP - Especialista em Regulação de 
Transporte I – Tecnologia da Informação
IDS e IPS são recursos de segurança que podem ser posicionados estrategicamente 
dentro da rede para detectar tráfego malicioso que por ventura tenha passado pelas 
regras do firewall. O IDS, por exemplo, ao detectar tráfego malicioso,
A) reagirá ao tráfego malicioso isolando os pacotes recebidos em uma área virtual da 
rede.
B) interromperá o tráfego automaticamente e negará novos pacotes da mesma origem.
C) gerará alarmes e/ou logs.
D) bloqueará a porta de origem do tráfego na rede automaticamente.
E) revidará automaticamente o ataque utilizando DoS.
2) Banca: FCC Órgão: TRE-PR Prova: FCC - 2017 - TRE-PR - Analista Judiciário - Análise de 
Sistemas
Considere que um Sistema de Detecção de Intrusão (Intrusion Detection System − IDS) 
de um Tribunal foi configurado para realizar certo tipo de detecção. Um usuário, que 
sempre realiza o acesso à Internet no horário comercial, está sendo monitorado pelo 
IDS. Este IDS passou uma semana criando o perfil deste usuário e, a partir do último dia 
daquela semana, começou a empregar em seu perfil o horário comercial como o 
permitido para a utilização da Internet. Certo dia, após a detecção estar ativa, o usuário 
quis acessar a Internet durante a madrugada para entregar um relatório importante. 
Como este comportamento não estava de acordo com o perfil criado, a resposta a esta 
detecção realizada pelo IDS foi o bloqueio do acesso à Internet para aquele usuário. 
Neste caso, o IDS detectou um falso positivo. Embora isso possa ocorrer, pois o 
comportamento de usuários e sistemas pode variar amplamente, este tipo de detecção 
pode identificar novas formas de ataques.
2) Banca: FCC Órgão: TRE-PR Prova: FCC - 2017 - TRE-PR - Analista Judiciário - Análise de 
Sistemas
O tipo relatado é denominado Detecção
a) por Comportamento Esperado (Behavior-Expected Detection).
b) por Assinatura (Signature Detection).
c) por Anomalia (Anomaly Detection).
d) Baseada em Especificação (Specification-based Detection).
e) Baseada em Perfil (Perfil-based Detection).
❑ Resultados
▪ Análise esperada:
✓ Atividade suspeita detectada como suspeita.
✓ Atividade legítima detectada como legítima.
▪ Não esperado:
✓ Atividade legítima detectada como suspeita (Falso positivo)
✓ Atividade suspeita detectada como legítima (Falso negativo)
❑ Tipos em Relação à Localização
➢ IDS
- IDS baseado em host (HIDS)
- IDS baseado em rede (NIDS)
➢ IPS
- Baseado em host (HIPS)
- Baseado em rede (NIDS)
❑ Baseados em Host e Rede
✓ Host:
- Monitoram acessos e alterações:
Arquivos de sistema;
Privilégios dos usuários;
Processos do sistema;
Programas em execução
✓ Rede:
- Monitoram o tráfego do segmento de rede.
- Interface de rede em modo promíscuo.
❑ Honeypot
▪ Tecnologia de detecção e armazenamento informações de ataques.
▪ São recursos computacionais dedicados a serem sondados, atacados ou 
comprometidos, num ambiente que permita o registro e controle dessas 
atividades.
▪ Aprendizagem sobre ataques.
3) Ano: 2018 Banca: CESPE Órgão: ABIN Prova: CESPE - 2018 - ABIN - Oficial de 
Inteligência - Área 4
Acerca de prevenção e tratamento de incidentes, julgue o item seguinte.
Os honeypots (potes de mel), enquanto tecnologia de detecção de intrusão, podem ser 
utilizados para atingir os objetivos de atrair um atacante potencial e afastá-lo de 
sistemas críticos e de incentivar o atacante a ficar no sistema por período de tempo 
suficiente para que haja resposta dos administradores, mas não para coletar 
informações sobre a atividade do atacante, uma vez que não foram projetados para 
esse fim.
( ) certo ( ) errado
4) Ano: 2020 Banca: CESPE Órgão: TJ-PA Prova: CESPE - 2020 - TJ-PA - Analista Judiciário 
- Análise de Sistemas (Suporte)
Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a 
área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, 
julgue os itens a seguir.
I Honeypots são sistemas planejados para atrair um atacante para uma área diferente, 
longe dos sistemas críticos.
II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão 
e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão.
III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é 
diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada.
4) Ano: 2020 Banca: CESPE Órgão: TJ-PA Prova: CESPE - 2020 - TJ-PA - Analista Judiciário 
- Análise de Sistemas (Suporte)
Assinale a opção correta.
A) Apenas o item I está certo.
B) Apenas o item II está certo.
C) Apenas os itens I e III estão certos.
D) Apenas os itens II e III estão certos.
E) Todos os itens estão certos.
GABARITO
1 - C 3 - errado
2 - C 4 - E
20:xx:xx:x:00