O que é detecção de intrusão?
A detecção de intrusão lida com a observação de tentativas não autorizadas de acessar uma rede de computadores ou sistema físico de computadores. Seu objetivo é detectar quaisquer ameaças que possam permitir acesso a informações não autorizadas, afetar negativamente a integridade dos dados ou resultar em perda de acesso em uma rede. Geralmente é implementado através do uso de um sistema de detecção de intrusão (IDS) que detecta, registra e registra várias informações sobre outras pessoas conectando-se à rede ou acessando um host físico. Esses sistemas podem variar de soluções de software que simplesmente registram informações de tráfego a sistemas físicos que envolvem guardas de segurança, câmeras e sensores de movimento.
Existem três tipos principais de detecção de intrusão, incluindo métodos físicos, baseados em rede, em host. Os métodos baseados em rede tentam sinalizar tráfego de rede suspeito e geralmente usam programas que registram o tráfego e os pacotes que fluem através de uma rede. Os métodos baseados em host procuram possíveis invasões em um sistema físico de computador e verificam a integridade dos arquivos, identificam rootkits, monitoram políticas de segurança local e analisam logs. Os métodos físicos também lidam com a identificação de problemas de segurança em dispositivos físicos e usam controles físicos, como pessoas, câmeras de segurança, firewalls e sensores de movimento. Em muitos negócios com dados confidenciais e sistemas críticos, é desejável uma combinação desses métodos para a melhor segurança possível.
Os sistemas de detecção de intrusões geralmente não impedem que ocorram invasões; em vez disso, eles simplesmente registram eventos que ocorrem para que outras pessoas possam reunir e analisar as informações. Embora isso seja especialmente verdadeiro para métodos de detecção de intrusão baseados em rede e em host, isso pode não ser verdade para alguns métodos físicos, como firewalls e equipe de segurança. Os firewalls geralmente oferecem a capacidade de bloquear tráfego suspeito e podem aprender o que é e o que não é permitido. O pessoal de segurança também pode impedir que as pessoas invadam fisicamente uma empresa ou centro de dados, e as armadilhas monitoradas e os sistemas de controle de acesso são outros métodos físicos que podem impedir a invasão de alguém.
As limitações dos sistemas de detecção de intrusões significam que muitas organizações também usam um sistema de prevenção de intrusões (IPS) para agir quando ocorrem atividades suspeitas. Muitos desses sistemas incluem as funções de um sistema de detecção de intrusões e fornecem um sistema de segurança mais completo que é útil ao responder a violações de segurança. Quando o IPS detecta violações suspeitas de tráfego ou política, executa a ação configurada em suas políticas. Os funcionários de segurança da informação ou os administradores de sistema geralmente configuram as políticas que o IPS usa para responder a cada evento.