SóProvas

ID
242887
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que a equipe de suporte técnico de determinada empresa
necessite fazer escolhas, configurações e procedimentos
concernentes a segurança da informação da rede de computadores
dessa empresa. Nessa situação, julgue os itens seguintes.

Considere que essa empresa tenha adotado um sistema de detecção de intrusos embasado em anomalias. Nessa situação, o sistema adotado cria um perfil de tráfego a partir da operação normal do sistema sem depender de conhecimentos prévios de ataques já registrados.

Alternativas
Comentários

  • CORRETO. Um IDS pode operar baseado em comportamento ou baseado em assinatura. No primeiro caso, já foi explicado na questão. No segundo caso o IDS compara os dados trafegados com as suas assinaturas internas (padrões de tráfego) que indicam possíveis ataques. Caso aja um casamento entre os padrões observados e os padrões conhecidos, o IDS entra em ação.

  • CORRETO
    Os IDS's podem ser classificados segundo inúmeras características:
    No caso da questão se refere pelo Método de Detecção, que no caso temos:
    -Pelo Método de Detecção

    *Detecção por assinaturas (Signature Detection)
     Analisa a atividade do sistema à procura de padrões de ataques conhecidos, chamado assinaturas. 

    *Detecção por comportamento (Behavior Detection)
     Também conhecido como IDS baseado em anomalias, sua intenção é definir ocomportamento normal de um sistema e desvios abrutos a essa normalidade. Sistemas desse tipo normalmente requer que passe por um tempo um período de aprendizagem em que o comportamento normal é aprendido atra'ves de IA(inteligência artificial) ou modelação estatística. A grande vantagem desse método é que permite, teoricamente, detectar ataques desconhecidos. A grande desvatagem é a dificuldade de definir modelos robustos de bom comportamento e acuidade ao ajustar o grau de sensibilidade do sistema.


    -Pela Fonte de Eventos
    -Pela rapidez de detecção
    -Pela reatividade
    -Pela distributividade
  • Correto

    dae o fato de gerar um excessivo número de falsos positivos


  • CERTO CONFORME KUROSE.

    Segundo Kurose(2010, p.543, 5° parágrafo), "Um IDS baseado em anomalias cria um perfil de tráfego enquanto observa o tráfego em operação normal."
    Segundo Kurose(2010, p.543, 5° parágrafo),     "O mais interessante sobre sistemas IDS baseados em anomalias é que eles não recorrem a conhecimentos prévios de outros ataques."


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010

  • Meu Deus, as vezes eu vejo cada explicação complicada,  ajudem a vida dos que não entendem linguagem pesada, por exemplo.

    "Para fazer a detecção através de anomalias, o sistema reúne informações da atividade da rede e forma uma base de dados. A partir daí o sistema faz comparações das ocorrências da rede com essa base de dados e alerta sobre atividades que estão fora do que de costume, ou de normal acontece na rede."

     

  • "sem depender de conhecimentos prévios de ataques já registrados"

    para mim, a chave da questão foi essa frase! justamente pq ela transmite a ideia de Knowledge-Based Intrusion Detection (baseada em uma base de dados de assinaturas). este, possui funcionamento semelhante ao de um antivírus, no qual o IDS procura por um padrão ou uma assinatura de ataque que esteja nessa base de dados.

    portanto, questão correta!

  • Gabarito: CORRETO

    Para resolver a questão vamos definir o que é um IDS e explicar seu funcionamento.

    IDS (Intrusion Detection System - Sistema de detecção de intrusos) é um recurso de segurança da informação utilizado para identificar eventos maliciosos que podem prejudicar a rede ou os seus computadores e assim tomar ações no sentido de inibir tais ameaças. Podem ser de dois tipos:

    1) Baseados em estação: chamado de Host-based Intrusion Detection Systems. É focado na atividade do próprio computador onde é instalado.

    2) Baseados em rede: chamado de Network-based Intrusion Detection System. Se concentra na análise de trafego de dados pela rede protegida (é o mais utilizado).

    -------------------------------------------------------------------------

    E como o IDS sabe o que/quem é um intruso? Para isso ele trabalha com dois métodos de detecção.

    1) Por assinatura (não foi cobrado nesta questão): Assinaturas são padrões pré-definidos de ataques ou atividades maliciosas. Assim o IDS procura por eventos que se encaixam nestes padrões e, os identificando, toma a devida providência para proteger a rede ou computador. Sua maior desvantagem é que só protege de eventos previamente conhecidos (por isto existe o método abaixo que supre esse ponto fraco) e assim precisa de constante atualização contra novos tipos de ataques (similar a um antivirús).

    2) Por anomalias (que foi cobrado nesta questão): aqui o principio básico é: ameaças e ataques são atividades fora da rotina normal (incomuns) dos sistemas. Assim, é definido um padrão de comportamento do usuário e qualquer atividade fora desse padrão é considerada uma anomalia e, portanto, uma ameaça. Logicamente que essa sistemática é um pouco mais complexa do que o explicado acima (há algoritmos, métricas, etc.) mas já é suficiente para resolvermos a questão. A maior desvantagem deste tipo de método de detecção são os falsos-positivos (alarmes sobre eventos que não são ameaças verdadeiras) devido a imprevisibilidade do comportamento dos usuários e sistemas.

    Agora ficou fácil resolver a questão, não é mesmo? Quando o IDS usa o método de detecção por anomalia não há a necessidade de conhecer os ataques que a rede ou computador pode sofrer já que define-se o que é não considerado ameaça (uso normal dos sistemas) e o restante (que está fora do padrão estabelecido) é tratado como ataque/ameaça. Ter conhecimentos prévios de ataques já registrados está ligado ao método de detecção por assinatura.

    Fonte: TecConcursos

  • Detecção por anomalia> NÃO procura padrões a partir de ataques prévios

    Detecção por assinatura>> Procura padrões a partir de ataques prévios (por isso não garante a detecção de novos vírus.)