Detecção e prevenção de intrusão de rede

O que é detecção e prevenção de intrusão de rede?

Um sistema de prevenção e detecção de intrusão de rede (IDPS) representa a interseção entre a detecção e a prevenção de intrusão. Ele monitora e analisa o tráfego de rede em busca de atividades suspeitas ou anormais. A identificação de uma possível ameaça é baseada em uma combinação de aprendizagem profunda e regras predefinidas.  

Às vezes, isso pode envolver o envio de um alerta para um administrador de rede. O IDPS pode bloquear o tráfego do endereço de origem ou até mesmo envolver outras soluções de segurança cibernética para atenuar um possível ataque. Algumas soluções de IDPS podem até mesmo neutralizar ataques removendo softwares ou códigos mal-intencionados.

Como a maioria dos criminosos, os agentes de ameaças trabalham melhor quando podem operar nas sombras, longe dos olhos curiosos das equipes de segurança. Permitir que eles façam isso não é uma opção. É seu trabalho iluminar os atacantes e detê-los em seu caminho.

Os Sistemas de Detecção de Intrusão (IDSs) e os Sistemas de Prevenção de Intrusão (IPSs) juntos permitem que você faça exatamente isso.

Tipos de detecção e prevenção de intrusões

Além da detecção e prevenção de intrusões na rede, há vários tipos adicionais de tecnologia IDPS.

Sem fio

Os sistemas IDP sem fio são projetados para analisar redes sem fio e protocolos de rede. Embora tenham o mesmo objetivo principal de um IDPS baseado em rede, eles geralmente não analisam protocolos de rede superiores. Isso se deve ao fato de que, ao contrário de um NIDPS, um WIDPS não vê todo o tráfego em uma rede; em vez disso, ele opera por meio de amostragem contínua do tráfego de rede.

Baseado em host

Um IDPS baseado em host é implantado como um agente em um único dispositivo, host ou endpoint - normalmente crítico para os negócios ou altamente sensível. As características monitoradas por esse tipo de solução incluem logs do sistema, processos em execução, tráfego de rede, acesso a arquivos e atividade de modificação e alterações de configuração.

Análise do comportamento da rede

Enquanto um IDPS baseado em rede inspeciona especificamente o tráfego nos pontos de acesso à rede, um sistema de análise de comportamento de rede examina a rede, aproveitando a inteligência artificial para identificar e sinalizar comportamentos anormais.

Tipos de detecção e prevenção de intrusões

Como o nome sugere, há dois lados na funcionalidade de um IDP : detecção e prevenção. Ou, em outras palavras, como o sistema identifica e corrige as ameaças. De acordo com o National Institute of Standards and Technology, há três classes principais de metodologias de detecção.

1. A detecção baseada em assinatura baseia-se na correspondência de padrões de atividade ou comportamento com ameaças conhecidas. Isso pode incluir características conhecidas de malware, configurações anormais do sistema ou violações aparentes da política de segurança de uma organização. A principal deficiência da detecção baseada em assinatura é que ela não é capaz de compreender ou avaliar comunicações complexas ou reconhecer uma ameaça previamente desconhecida.

2. A detecção baseada em anomalias compara a atividade da rede com uma linha de base estabelecida, sinalizando qualquer desvio como potencialmente malicioso. A única desvantagem real da detecção baseada em anomalias é que ela exige tempo para treinar o sistema e estabelecer um perfil comportamental para cada entidade em uma rede. Um usuário inexperiente também pode incluir inadvertidamente atividades mal-intencionadas como parte de um perfil.

3. A análise de protocolos com estado é semelhante à detecção baseada em anomalias, exceto pelo fato de que ela utiliza perfis comportamentais desenvolvidos pelo fornecedor que podem ser aplicados universalmente. Embora possam consumir muitos recursos, elas geralmente identificam ataques que outros métodos não detectam. Dito isso, é possível enganar um sistema de análise de protocolo com estado mascarando a atividade mal-intencionada com um comportamento de protocolo aceitável.

Os recursos de prevenção podem ser passivos ou ativos e incluem:

  • Encerrar uma sessão do TPC
  • Ativação de um firewall em linha
  • Limitação do uso da largura de banda
  • Alteração ou remoção de conteúdo malicioso
  • Reconfiguração de dispositivos de segurança de rede
  • Ativação de um script ou programa de terceiros

Sistema de detecção de intrusão vs. Sistema de prevenção de intrusão

Um IDS é essencialmente passivo. Ele examina o tráfego da rede e notifica um administrador sobre possíveis ameaças, mas não pode agir de outra forma. Um IPS representa uma evolução da detecção de intrusão, pois é capaz de resposta e correção automáticas.

CylanceGATEWAY para segurança de rede

O CylanceGATEWAY™ é um acesso à rede de confiança zero (ZTNA) com tecnologia de IA. Ele permite que sua força de trabalho remota estabeleça conectividade de rede segura a partir de qualquer dispositivo - gerenciado ou não gerenciado - para qualquer aplicativo na nuvem ou no local, em qualquer rede. Essa solução ZTNA nativa da nuvem fornece acesso escalável somente de saída a qualquer aplicativo, ocultando ativos essenciais de usuários não autorizados - minimizando as áreas de superfície de ataque.

A arquitetura multilocatário do CylanceGATEWAY foi projetada para a transformação digital e o trabalho distribuído. Sua avançada IA e aprendizado de máquina melhoram sua postura de segurança e simplificam a configuração e o gerenciamento de políticas de segurança granulares e dinâmicas e controles de acesso.

SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos