Também conhecido como IDS (Intrusion Detection System), um sistema de detecção de intrusos é um software (ou um hardware) que analisa o tráfego de uma rede, identificando ataques e tentativas de acesso não autorizados e alertando, em tempo real, quando um evento desse tipo acontece. Tem como objetivo principal proporcionar a visibilidade, o conhecimento do que ocorre ao seu redor, o que geralmente o firewall não faz.
A detecção de intrusos é na verdade a detecção de anomalias (análises estatísticas fora do normal) e assinaturas (padrões de ataques) no tráfego da rede.
Falhas de login, página web desconfigurada, conexões em excesso, diretórios com arquivos estranhos, queda na performance de um servidor e volumes de dados acima do esperado, por exemplo, podem ser consideradas atividades suspeitas, ativando um alerta, que pode ser um aviso no console do administrador, uma mensagem em seu celular etc.
Mas quando um ataque que o IDS não conhece acontece, a detecção não ocorre. Na tentativa de resolver esse problema começam a surgir sistemas de identificação de intrusos que utilizam técnicas de inteligência artificial, o que permite a eles cruzar dados e aprender com base no histórico de eventos. Além de detectar invasões, um IDS pode ser capaz de prevê-las, uma vez que consegue identificar a presença de scanners.
Os dados gerados por um IDS possibilitam identificar os pontos mais vulneráveis e os que são mais explorados e, com isso, fazer melhor uso das demais ferramentas, tornando de fato as informações mais seguras.
TIPOS DE IDS
Sistemas de detecção de intrusos são comumente classificados como HIDS (Host Intrusion Detection System) ou NIDS (Network Intrusion Detection System). Como o próprio nome diz, HIDS são voltados para hosts, computadores. Já os NIDS foram desenvolvidos especificamente para segmentos de redes. Cada tipo tem suas vantagens e desvantagens e, juntos, se complementam.
Uma rede pode comportar vários HIDS e NIDS, que devem ser usados de acordo com as reais necessidades da organização. Recomenda-se que os sensores se comuniquem com uma estação de administração central dedicada, onde os registros serão armazenados.
É importante notar que não adianta um sistema ter detalhados registros de acessos se um hacker for capaz de desconfigurar o IDS e modificá-los. Por isso, além de perceber a ação de invasores, alguns IDS são capazes de bani-los. São os chamados IPS (Intrusion Prevention System).
Ainda que alguns IDS consigam intimidar e até banir invasores, tanto de dentro como de fora da rede, devem ser vistos mais como uma ferramenta de auxílio à tomada de decisões do que um como sistema de proteção propriamente dito.
FALSOS POSITIVOS
Há uma série de fatores que influenciam no desempenho do IDS e, até por isso, ele nem sempre é correto em suas análises. Por vezes, atividades ilegítimas passarão despercebidas e atividades legítimas podem habilitar o sinal de alerta.
Para reduzir a ocorrência de falsos positivos e também para que o tráfego de dados não seja prejudicado, a sensibilidade dos sensores deve estar bem regulada.
Além disso, quando o volume de dados for bastante intenso, e esse é um dos fatores que atrapalha o funcionamento normal dos sistemas de detecção de intrusos, pode ser necessário o acompanhamento contínuo dos relatórios por um profissional.
Um outro fator que atrapalha é a criptografia, que impede a verificação do conteúdo de pacotes por parte do IDS.
Pode-se citar ainda a desatualização do IDS como algo que certamente trará resultados errôneos.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.