SóProvas

kkkkkkkkkkkkkkkk mesmo sendo polêmico caiu em concurso rsrs

c) Contra-ataque - Este é um ponto polêmico no que diz respeito aos sistemas de IDS. É possível que, ao ser detectada uma tentativa de invasão, o programa execute um ataque contra o agressor. Geralmente este tipo de ataque é feito por scripts que executam programas DoS, que têm a intenção de derrubar a máquina do atacante. Se você for implementar este tipo de resposta, notifique a todos na sua empresa, para não gerar mal entendidos.

FONTE:

Squid - Configurando o Proxy para Linux (5a edição)

Por Antonio Marcelo

Não seria IPS? Ou as bancas estão realmente adicionando o contra atque as funcionalidades do IDS?

Também achava que seria o IPS, porém tem literatura que fala dessa ação por parte do IDS.

Veja http://web.unifoa.edu.br/cadernos/edicao/05/11.pdf

Este artigo cita Nakamura e Geus (2007, pag 264)

2014
A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.
certa

2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93) 
IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas
certa

ele toma atitudes, mas nao proativas, mas sim posteriores

A regra é que o IPS seja passivo, ou seja , apenas detecta e alerta para o administrador sobre a invasão.

Porém, existe o IPS MODO REATIVO que identifica o ataque, gera logs do ataque, alerta a intrusão e envia comandos para o firewall de rede para alterar suas regras de funcionamento de forma automática para bloquear o ataque.

Existe 2 categoria de IDS:

NIDS - baseado em rede

HIDS - baseado em host

Fonte: Estrátegia Concursos

Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão.

item Certo

esta ultima parte creio que pode ser o IDS (ativo, inline) que atua como IPS.

E lá vamos mudar o material novamente....

IDS:

Intrusion Detection System – Sistema de Detecção de Intrusão

São dispositivos de monitoria capazes de detectar a ocorrência de um ataque ou comportamento anormal no ambiente e produzir um aviso. Suas principais funções são:

Detectar tentativas de ataques;

Informar sobre as ocorrências de invasão;

IPS:

Intrusion Prevention System – Sistema de Prevenção de Intrusão

O IPS assim como o IDS inspeciona os pacotes na rede e toma ações de bloqueio de maneira a proteger o ambiente contra ataques. Suas principais funções:

Detecta tentativas de intrusão;

Ações de bloqueio dos ataques;

Avisa sobre as tentativas de invasão;

O Funcionamento de um IDS/IPS assemelha-se ao de um software Antivírus

Fazem uma inspeção no tráfego à procura de código malicioso e comparam a um banco de dados de vulnerabilidades disponibilizado pelo fabricante.

Diferença está na camada de atuação, o antivírus atua em camada de aplicação e o IDS/IPS na camada de rede.

#foconamissãoPF!!!

P O L Ê M I C A

SEGUNDO NAKAMURA, PÁGINA 133:

Sistemas IDS podem oferecer subsídios suficientes para que a organização melhore sua proteção contra quaisquer tipos de ataque, principalmente os considerados internos. Um sistema de detecção de intrusão funciona de acordo com uma série de funções que, trabalhando de modo integrado, é capaz de detectar, analisar e responder a atividades suspeitas.

CERTA

Complementando,

1. IDS - DETECTA, ALERTA - Só dá o papo
2. IPS - PREVINE, ALERTA E BLOQUEIA

Questões que ajudam na resposta:

(CESPE - 2017 - SEDF) Relativamente a segurança da informação, julgue o item subsequente.

Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.Certo

(CESPE - 2015 - TCE-RN) A respeito de segurança em redes de computadores, julgue o item seguinte.

Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system). Certo

(CESPE - 2010 - TCU) Com relação à segurança em redes de computadores, julgue os itens subsequentes.

Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.Errado

(CESPE-2021-CODEVASF) Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede. Errado

(CESPE-2016-FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão. Certa

Existe também a figura do IDS ativo. Há momentos em que o CESPE considera a existência dele (como foi o caso dessa questão) e há momentos em que a banca simplesmente ignora. O IDS ativo atua de forma semelhante a um IPS. A diferença é que o IDS ativo age de forma reativa, depois que um ataque já se iniciou, enquanto o IPS age de forma proativa, antes que a tentativa de ataque tenha qualquer sucesso.

Fonte: Estratégia Concursos

Jurisprudência cespe:

IDS é tipo os vingadores, podendo contra-atacar a invasão do Thanos

Essas "tais ações" que a questão diz que ele cria é quando ele gera arquivos de logs e mensagens de alarme ao detectar determinada atividade maliciosa.

ESSA QUESTÃO TÁ ERRADA. O IDS NÃO APLICA AÇÕES COM A FINALIDADE DE CONTRA-ATACAR.