SóProvas

ID
1839112
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a tecnologias de IDS, julgue o item que se segue.

Os IDS estatísticos podem detectar novas e imprevistas vulnerabilidades, além de sinalizar a ocorrência de eventuais ataques por anomalias comportamentais de tráfego; esses IDS são, ainda, muito menos suscetíveis à indicação de falsos positivos do que os IDS baseados em assinaturas.

Alternativas
Comentários

  • Desvantagens da detecção por anomalias:

                - É comum produzir grande numero de alarmes falsos, devido a comportamentos imprevisíveis dos usuários e de sistemas;
                - Devem ser realizadas muitas sessões para coletar dados para o sistema, com o intuito de caracterizar os padrões normais de comportamento.

     

    https://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/anomalias.html

  • Gabarito: Errado

    Comentário:

    A primeira parte da questão está correta, portanto, ocorre o erro por conta do segundo trecho(após o ;)

                "; esses IDS são, ainda, muito menos suscetíveis à indicação de falsos positivos do que os IDS baseados em assinaturas."

    Fonte:

    "A detecção de intrusão estatística não requer nenhum conhecimento prévio de ataques de intrusão conhecidos e tem a capacidade potencial de tectar novas espécies de intrusões.

    Como os IDSs estatísticos se apoiam na análise de padrões de tráfego na rede, seria difícil para um atacante esconder o seu comportamento de um gerente IDS que estja usando essas técnicas. Contudo, a potencial fragilidade de métodos estatísticos é que algum comportamento não malicioso pode gerar uma anomalia significativa, que poderia levar o IDS a soar um alarme. Essa sensibilidade a alterações normais no comportamento de um sistema ou um usuário poderia levar a falsos positivos.

    Além disso, um atacante furtivo pode não gerar muito tráfego e, portanto, passar despercebido por IDSs estatísticos de rede, levando a falsos negativos. Por exemplo, atacantes podem encapsular conteúdo malicioso em protocolos de rede benignos como HTTP, esperando que esse tráfegos seja ignorado como comportamento comum da rede. Portanto, na prática a maioria dos sistemas de detecção de intrusão incorpora métodos baseados em regras (baseado em assinaturas) e estatísticos."

    Livro: Introdução à Segurança de Computadores Por Michael T. Goodrich,Roberto Tamassia

  • é IPS flw

  • Detecção por comportamento/anomalia tende a ser mais suscetível a falsos positivos que por assinatura

  • se eu tenho uma lista de convidados a seguir, minha chance de errar na identificação dos nomes da lista é menor.

  • GABARITO: ERRADO

    O IDS pode atuar de duas formas, ou por assinatura, ou por anomalia no tráfego de rede.

    IDS por assinatura: Monitora o tráfego de rede buscando ataques ou dados maliciosos conhecidos, logo, apenas emitirá um alerta caso algum código malicioso já esteja no banco de assinaturas conhecidas do sistema de detecção de intrusão, porém códigos desconhecidos passará despercebido pelo IDS.

    IDS por anomalia:  Monitora o tráfego de rede a procura de ações anômalas, portanto quaisquer ações fora do comum que ocorrerem, será emitido alerta, aumentando, por sua vez, as ocorrências de falsos positivos, pois ações atípicas, as quais o usuário cometer, serão detectadas e sinalizadas ao administrador da rede.

  • Pensa comigo: Você está lá com um mandado de prisão de um indivíduo e o encontra na rua, confere a sua documentação e, assim, vai ter convicção de que é ele. Os dados dele conferem com os dados do mandado. Já na detecção por comportamento, é ver um mala andando na rua, mas não ter plena convicção de que ele é criminoso. Portanto, a chance de vc se confundir com o comportamento de um individuo é bem maior.

  • Vou só explicar de uma forma mais didática, mas não deixem de ler os comentários dos colegas Joao Francisco e Bruno Rebello.

    Teoria

    • O IDS visa identificar a intrusão baseado em um histórico. Como ele faz isso? De duas formas: (1) Baseado nas ameaças já conhecidas, ou seja, seu banco de assinaturas e (2) baseado em comportamentos;
    • Como assim comportamento? Ele vai analisando o tráfego da rede e vê se não tem nada de anormal (por meio de técnicas de inteligência computacional (como, por exemplo, redes neurais e classificadores estatísticos)). Mas qual é a desvantagem desse tipo de situação? É que, às vezes, ele tem um "preconceito" e não detecta um problema (falso negativo) ou tem paranoia detectando um problema que não existe (falso positivo).

    Aplicando na questão

    •  Ela está perguntando se o IDS baseado em comportamento é menos suscetível a bugs's do que a assinatura. Conforme vimos, está errado, pois, apenas para reforçar, a assinatura detecta erros já conhecidos e o baseado em comportamento tenta se basear em um "pré-conceito" que tal tráfego vai fazer e isso pode levar a erros.