SóProvas

ID
959983
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne à segurança, julgue os itens subsequentes.

Falsos positivos referem-se a ataques ocorridos e que são considerados como normais por um IDS (intrusion detection system). Nesse caso, os IDSs embasados em estatísticas de anomalias conseguem gerar uma quantidade menor de falsos positivos que os fundamentados em regras, por causa do controle das ACLs (access control lists).

Alternativas
Comentários

  • Falso positivo é quando uma operação normal é considerado erroneamente como um ataque.

  • O termo "falso positivo" é utilizado para designar uma situação em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade não é um ataque. 

    Obs.: Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques respostas a solicitações feitas pelo próprio usuário.

  • ERRADO.  Essa questão possui dois grandes erros. Vou sublinhá-los e justificar conforme Nakmaura.


    1 erro)Falsos positivos referem-se a ataques ocorridos e que são considerados como normais por um IDS (intrusion detection system). 

    **Não se trata de um falso positivo, mas sim um FALSO NEGATIVO.

     Segundo Nakamura(2010,p.281),"Tráfego suspeito não detectado (falso negativo)."

    ______________________

    2 erro)Nesse caso, os IDSs embasados em estatísticas de anomalias conseguem gerar uma quantidade menor de falsos positivos que os fundamentados em regras, por causa do controle das ACLs (access control lists).

    ** É ao contrário.


    Segundo Nakamura(2010,p.286),"O Anomaly Detection System (...) pode gerar falsos negativos(quando o ataque não causa mudanças significativas na medição do tráfego) e um grande número de falsos positivos(bug no sistema de monitoramento,erro no modo de análise da medição ou falta de certeza da verificação de todo o tráfego normal). "


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


  • (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)

    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDSdeixa de detectar uma intrusão que efetivamente ocorreu.

    errada

  • Saber que FALSO POSITIVO é algo NORMAL tratado como se fosse algo PERIGOSO já mata a questão.

  • se o HTTP Concurseiro acha, eu concordo

    se o HTTP Concurseiro fala, eu escuto

    se o HTTP Concurseiro erra, eu perdoo 

    se o HTTP Concurseiro pensa, eu admiro

    se o HTTP Concurseiro tem 100 fãs, eu sou um deles

    se o HTTP Concurseiro tem 10 fãs, eu sou um deles

    se o HTTP Concurseiro tem 1 fã, eu sou esse fã

    se o HTTP Concurseiro não tem fãs, eu não existo

  • GABARITO ERRADO!

    .

    .

    A QUESTÃO SE REFERE AO IDS POR ASSINATURAS PRÉ-CONFIGURADAS.

  • Falso positivo: quando há alerta mas o evento não existe (vulgo "alarme falso") presente (achou algo)

    Falso negativo: quando não há um alerta e o evento existe. Ausente (não achou nada)

  • É o contrario:

    Detecção por anomalias: identifica ações diversas das normais --> Causa muitos falsos-positivos.

  • a resposta da questão é apenas a diferenciação entre os dois tipos de IDS/IPS (por Assinatura/ por Anomalia).

    tendo os conceitos de falso positivo, era só analisar:

    • O por Assinatura contém uma base de dados, pré-definidos da composição de pacotes potencialmente maliciosos.
    • O por Anomalia pré-define um perfil de normalidade e em seguida filtra os pacotes por comportamentos discrepantes desse perfil de normalidade pré-definido.

    só usar a lógica e ver que quando um pacote não está dentro da normalidade, ele não necessariamente é um pacote potencialmente malicioso; e quando um pacote tem a ASSINATURA de um pacote potencialmente malicioso, muito dificilmente ele não o será.

    errado