SóProvas

ID
885121
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue
os próximos itens.

Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas.

Alternativas
Comentários
  • Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervensão humana para que seja tomada uma ação efetiva.

    Sendo assim, constata-se que a questão aborda o conceito de IPS e não de IDS e por isso está errada.

  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Bote isso na cabeça que você não erra mais nunca.

    Gab: ERRADO

  • Unindo a informação técnica de CHE com as dicas de memorização de  Edluise Costa temos uma boa resposta, no que tange concurso banca CESPE. Parabéns pelos comentários, pessoal.
  • O correto poderia ser:
    "Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados a partir de regras previamente definidas e a partir de análises heurísticas."

    Pois são essas as 2 técnicas usadas por esses sistemas:
    • Regras: mantém um banco de dados de regras relacionadas a atividades de intrusos. Apesar de ainda ser a técnica mais usada hoje, ela tem a desvatagem de ser  "cega" a novos ataques; ameças cujas assinaturas não estão em seus banco de dados;
    • Heurísticas: cria um perfil de tráfego observando a operação na rede, procurando por cadeias de pacotes com características incomuns. Pode detectar ataques novos que não foram documentados.
    Mais informações sobre o tema: http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#deteccao-por-assinatura
  • Na verdade o CESPE não sabe o que é realmente um IDS...
    A banca insiste na idéia de que um IDS não pode ser capaz de realizar bloqueios de tráfego, o que é mentira.

    Existem dois tipos de IDS:
    IDS passivo: Ao detectar uma anomalia, apenas envia um "sinal" ao administrador.
    IDS reativo: Além de enviar o sinal, é capaz de executar ações para impedir o tráfego anormal.

    Só que a banca confunde esse conceito com o de IPS (Intrusion Prevent System), que na verdade possui o mesmo conceito do IDS reativo, só que o IPS executa ações para PREVENIR,  e o IDS reativo para IMPEDIR uma suposta invasão já CONCRETIZADA.


    Esse posicionamento do CESPE pode ser confirmado nas várias questões que questionam a capacidade do IDS em reagir aos ataques, como na prova do CNJ 2013
  • Na minha opinião, o erro da questão está em dizer que "serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas." O IDS detecta anomalias no tráfego de dados, a partir de estatísticas. O IDS detecta assinaturas a partir de um banco de dados com assinaturas de ataques, isto é, a partir de regras previamente definidas.

    Resumindo... O IDS detecta assinaturas (fácil implementação) e anomalias (difícil implementação).
    Anomalias está para     estatísticas; 
    Assinaturas está para regras previamente definidas.

    Ponto fraco do IDS baseado em assinaturas: Se o ataque é novo, simplesmente não haverá assinaturas para identificar o ataque. Não está no banco de dados do produto, não é ataque. 

    Concluindo... São capazes de bloquear tráfegos a partir de análises heurísticas ou assinaturas. O erro não está em dizer que o IDS bloqueia, e sim em dizer que quando bloqueia anomalias usa regras previamente definidas. 
  • Não vou explicar o IDS em si, porém pretendo desmistificar esta questão e mostrar os erros que encontrei. Separei por tópicos e partes para clarear o entendimento.

    Conforme Nakamura (2010, p.265), "[...] um sistema de detecção de intrusão (Intrusion Detection System - IDS), que tem como objetivo detectar atividades suspeitas, impróprias, incorretas ou anômalas, é um elemento importante dentro do arsenal de defesa da organização."

    Segundo Kurose(2010, p.543), "Sistemas IDS são amplamente classificados tanto como sistemas baseados em assinatura, ou sistemas baseados em anomalias. "

    Segundo Kurose(2010, p.543), "[...] sistemas IDS baseados em assinaturas [...] requerem conhecimento prévio do ataque para gerar uma assinatura precisa."

    Segundo Kurose(2010, p.543), "O mais interessante sobre sistemas IDS baseados em anomalias é que eles não recorrem a conhecimentos prévios de outros ataques."

    Conforme Nakamura (2010, p.286), "[...] no Behavior-Based Intrusion Detection, também conhecido como Anomaly Detection System (IDS baseado em anomalia) [...] a decisão é tomada por meio de uma análise estatística ou heurística, afim de encontrar possíveis mudanças de comportamento."

    Conforme Nakamura (2010, p.267), "O firewall libera conexões (ou bloqueia) e o IDS detecta, notifica e responde a tráfegos suspeitos."

    Conforme Nakamura (2010, p.268), "Após a detecção de uma tentativa de ataque pelo IDS, vários tipos de ações podem ser tomados como resposta. Alguns deles podem ser vistos a seguir:  - RECONFIGURAÇÃO DO FIREWALL."


     Uma forma de tornar a questão correta poderia ser:
    1)Serviços de detecção de intrusos são capazes de detectar tráfegos suspeitos, a partir de regras previamente definidas (com IDS baseado em assinatura) ou a partir de análises heurísticas (com IDS baseado em anomalia). Também são capazes de responder a ataques como a reconfiguração do firewall, e este podendo bloquear ou permitir conexões.

    2) Sistemas de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de análises heurísticas.  Também são capazes de responder a ataques como realizar a reconfiguração do firewall, e este podendo bloquear ou permitir conexões. 


    Bibliografia:

    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
    Segurança de Redes em Ambientes Cooperativos - Nakamura, Emilio Tissato; Geus, Paulo Lício De 



  • A questão fala de Sistemas de Detecção de Intrusão (IDS), e não de Prevenção (IPS ou IDPS).

    Segundo http://www.gta.ufrj.br/grad/12_1/ids/FuncionamentobsicodeIDS.html:

    "Após detectada uma intrusão, um IDS normalmente apresenta apenas um comportamento passivo de resposta, isto é, ele apenas alerta o usuário do ocorrido, no entanto, ele pode dar uma resposta ativa (uma solução) se configurado não como um IDS mas como um IDPS."

    Para efetuar o bloqueio no tráfego (que é uma ação ativa), teria que ser um IPS/IDPS e não simplesmente um IDS.

  • o erro está em servicos. Era pra ser sistema.

  • errado - firewall bloqueia acesso.intrusion attack systems sinalizam ataques dentro da LAN e quando se originam de fora.

  • ERRADO. "... são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas...."

    Quem faz essa análise é o IPS.

  • "Serviços de DETECÇÃO" = IDS.

    IDS --> detecta e avisa. NÃO bloqueia

    IPS --> detecta e bloqueia