-
ocorrência de "falso positivo". Este termo é usado para designar uma situação na qual um mecanismo de segurança aponta uma atividade como sendo maliciosa ou anômala, quando na verdade trata-se de uma atividade legítima. Um falso positivo pode ser considerado um falso alarme (ou um alarme falso).
Um falso positivo ocorre, por exemplo, quando uma página legítima é classificada como phishing, uma mensagem legítima é considerada spam, um arquivo é erroneamente detectado como estando infectado ou um firewall indica como ataques algumas respostas dadas às solicitações feitas pelo próprio usuário.
Apesar de existir esta possibilidade, isto não deve ser motivo para que os mecanismos de segurança não sejam usados, pois a ocorrência destes casos é geralmente baixa e, muitas vezes, pode ser resolvida com alterações de configuração ou nas regras de verificação.
http://cartilha.cert.br/mecanismos/
-
Muito estranho essa definição de evento real/não real, é meio confuso.
O correto seria identificar a atividade como legítima ou não legítima. Mas, pelas outras alternativas e pelo conhecimento prévio de falso positivo, não tem como não marcar a alternativa C.
Vamos na fé.
-
IDS - Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( Em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados.
-
Pessoal, falso positivo é quando o sistema diz: "Olha lá! Uma invasão!", mas, quando o administrador verifica, percebe que não é. É que nem quando nosso carro toca o alarme quando não há ladrão por perto.
Já quando o IDS vê um ataque e diz: "Legal! Vou deixar passar porque não é um ataque" acaba cometendo um falso negativo. É que nem quando nosso carro não toca o alarme mesmo quando o ladrão consegue roubá-lo.
-
DIFERENÇA IMPORTANTE:
IDS → sistema de monitoramento]
Sistemas de Detecção de Invasão (IDS): analisa e monitora o tráfego da rede em busca de sinais indicando que invasores estão usando uma ameaça conhecida para se infiltrar e roubar dados da rede. Os sistemas IDS comparam a atividade da rede atual a um banco de dados de ameaças conhecida para detectar vários tipos de comportamento, como violações de políticas de segurança, malware e verificações de portas
IPS → sistema de controle. ( ATIVO )
Vivem na mesma área da rede que um firewall, entre o mundo externo e a rede interna. O IPS nega proativamente o tráfego de rede com base em um perfil de segurança, se esse pacote representar uma ameaça de segurança conhecida.