Um sistema de prevenção de intrusão (IPS) monitora o tráfego da rede em busca de possíveis ameaças e as bloqueia automaticamente, alertando a equipe de segurança, terminando conexões perigosas, removendo conteúdo malicioso ou acionando outros dispositivos de segurança.
As soluções IPS evoluíram dos sistemas de detecção de intrusão (IDSs), que detectam e relatam ameaças à equipe de segurança. Um IPS tem as mesmas funções de detecção e relatório de ameaças de um IDS, além de habilidades de prevenção automática de ameaças, por isso às vezes são chamados de "sistemas de detecção e prevenção de intrusão" (IDPS).
Como um IPS pode bloquear diretamente o tráfego malicioso, ele pode reduzir a carga de trabalho das equipes de segurança e dos centros de operações de segurança (SOCs), permitindo que se concentrem em ameaças mais complexas. Os IPSs podem ajudar a aplicar políticas de segurança da rede bloqueando ações não autorizadas de usuários legítimos e podem apoiar os esforços de conformidade. Por exemplo, um IPS cumpre o requisito do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) para medidas de detecção de intrusões.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
Os IPSs empregam três métodos principais de detecção de ameaças, exclusivamente ou em combinação, para analisar o tráfego.
Os métodos de detecção baseados em assinatura analisam pacotes de rede em busca de assinaturas de ataques — características ou comportamentos únicos associados a uma ameaça específica. Uma sequência de código que aparece em uma variante particular de malware é um exemplo de uma assinatura de ataque.
Um IPS baseado em assinatura mantém um banco de dados de assinaturas de ataques contra o qual compara os pacotes de rede. Se um pacote acionar uma correspondência com uma das assinaturas, o IPS responde. Os bancos de dados de assinaturas devem ser atualizados regularmente com nova inteligência de ameaças à medida que novos ataques cibernéticos surgem e ataques existentes evoluem. No entanto, ataques completamente novos que ainda não foram analisados quanto a assinaturas podem escapar de um IPS baseado em assinatura.
Os métodos de detecção baseados em anomalias usam inteligência artificial e aprendizado de máquina para criar e refinar continuamente um modelo de atividade normal da rede. O IPS compara a atividade contínua da rede com o modelo e responde quando encontra desvios, como um processo que usa mais largura de banda do que o habitual ou um dispositivo que abre uma porta que geralmente está fechada.
Como os IPSs baseados em anomalias respondem a qualquer comportamento anormal, eles podem frequentemente bloquear ataques cibernéticos completamente novos que poderiam escapar da detecção baseada em assinatura. Eles podem até detectar vulnerabilidades de dia zero — ataques que aproveitam vulnerabilidades de software antes que o desenvolvedor do software saiba sobre elas ou tenha tempo para corrigi-las.
No entanto, IPSs baseados em anomalias podem ser mais propensos a falsos positivos. Até mesmo atividades benignas, como um usuário autorizado acessando um recurso de rede confidencial pela primeira vez, podem desencadear um IPS baseado em anomalias. Como resultado, usuários autorizados podem ser inicializados a partir da rede ou ter seus endereços IP bloqueados.
Os métodos de detecção baseados em políticas são baseados nas políticas de segurança definidas pela equipe de segurança. Sempre que um IPS baseado em políticas detecta uma ação que viola uma política de segurança, ele bloqueia a tentativa.
Por exemplo, um SOC pode definir políticas de controle de acesso que ditam quais usuários e dispositivos podem acessar um host. Se um usuário não autorizado tentar se conectar ao host, um IPS baseado em políticas os interrompe.
Embora os IPSs baseados em políticas ofereçam personalização, eles podem exigir um investimento inicial significativo. A equipe de segurança deve criar um conjunto abrangente de políticas que descrevam o que é e não é permitido em toda a rede.
Embora a maioria dos IPSs use os métodos de detecção de ameaças descritos acima, alguns usam técnicas menos comuns.
A detecção baseada em reputação sinaliza e bloqueia o tráfego de endereços IP e domínios associados a atividades maliciosas ou suspeitas. A análise de protocolo com estado foca no comportamento do protocolo — por exemplo, pode identificar um ataque de distributed denial-of-service (DDoS) detectando um único endereço IP fazendo muitas solicitações de conexão TCP simultaneamente em um curto período.
Quando um IPS detecta uma ameaça, ele registra o evento e o reporta ao SOC, frequentemente através de uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) (veja "IPS e outras soluções de segurança").
Mas o IPS não para por aí. Ele age automaticamente contra a ameaça usando técnicas como:
Um IPS pode encerrar a sessão de um usuário, bloquear um endereço IP específico ou até mesmo bloquear todo o tráfego para um alvo. Alguns IPSs podem redirecionar o tráfego para um honeypot, um ativo falso que faz os hackers pensarem que tiveram sucesso, enquanto na verdade o SOC está observando-os.
Um IPS pode permitir que o tráfego continue, mas limpar as partes perigosas, como descartar pacotes maliciosos de um fluxo ou remover um anexo malicioso de um e-mail.
Um IPS pode acionar outros dispositivos de segurança para agir, como atualizar regras do firewall para bloquear uma ameaça ou alterar configurações de roteador para impedir que hackers alcancem seus alvos.
Alguns IPSs podem impedir que invasores e usuários não autorizados façam qualquer coisa que viole as políticas de segurança da empresa. Por exemplo, se um usuário tentar transferir informações confidenciais de um banco de dados do qual não deveria sair, o IPS o bloqueará.
As soluções IPS podem ser aplicações de software instalados em endpoints, dispositivos de hardware dedicados conectados à rede ou entregues como serviços em nuvem. Como os IPSs devem ser capazes de bloquear atividades maliciosas em tempo real, eles são sempre colocados "em linha" na rede, o que significa que o tráfego passa diretamente pelo IPS antes de chegar ao seu destino.
Os IPSs são categorizados com base em onde se encontram numa rede e que tipo de atividade monitorizam. Muitas organizações usam vários tipos de IPSs em suas redes.
Um sistema de prevenção de intrusão baseado em rede (NIPS) monitora o tráfego de entrada e saída para dispositivos em toda a rede, inspecionando pacotes individuais em busca de atividades suspeitas. Os monitores de NIPS são colocados em pontos estratégicos da rede. Eles frequentemente ficam imediatamente atrás de firewalls no perímetro da rede para que possam impedir que o tráfego malicioso avance. O NIPS também pode ser colocado dentro da rede para monitorar o tráfego de e para ativos fundamentais, como data centers ou dispositivos críticos.
Um sistema de prevenção de intrusão (HIPS) baseado em host é instalado em um endpoint específico, como um notebook ou servidor, e monitora somente o tráfego de e para esse dispositivo. O HIPS geralmente é usado em conjunto com o NIPS para adicionar segurança extra aos ativos vitais. O HIPS também pode bloquear atividades maliciosas de um nó de rede comprometido, como ransomware que se espalha a partir de um dispositivo infectado.
Soluções de análise de comportamento de rede (NBA) monitoram fluxos de tráfego de rede. As NBAs podem inspecionar pacotes como outros IPSs, mas muitas NBAs se concentram em detalhes de nível mais alto das sessões de comunicação, como endereços IP de origem e destino, portas usadas e o número de pacotes transmitidos.
As NBAs usam métodos de detecção baseados em anomalias, sinalizando e bloqueando qualquer fluxo que desvie da norma, como um ataque DDoS ao tráfego ou um dispositivo infectado por malware se comunicando com um servidor de comando e controle desconhecido.
Um sistema de prevenção de intrusão sem fio (WIPS) monitora protocolos de rede sem fio em busca de atividades suspeitas, como usuários e dispositivos não autorizados que acessam o Wi-Fi da empresa. Se um WIPS detectar uma entidade desconhecida em uma rede sem fio, ela poderá encerrar a conexão. Um WIPS também pode auxiliar na detecção de dispositivos mal configurados ou não seguros em uma rede Wi-Fi e interceptar ataques do tipo "man-in-the-middle", nos quais um hacker espiona secretamente as comunicações dos usuários.
Embora IPSs estejam disponíveis como ferramentas independentes, eles são projetados para serem intimamente integrados a outras soluções de segurança como parte de um sistema de cibersegurança abrangente.
Os alertas do IPS são frequentemente direcionados ao SIEM de uma organização, onde podem ser combinados com alertas e informações de outras ferramentas de segurança em um único dashboard centralizado. Integrar IPSs com SIEMs permite que as equipes de segurança enriqueçam os alertas do IPS com inteligência adicional sobre ameaças, filtrem alarmes falsos e acompanhem a atividade do IPS para garantir que as ameaças foram bloqueadas com sucesso. Os SIEMs também podem ajudar os SOCs a coordenar dados de diferentes tipos de IPSs, pois muitas organizações usam mais de um tipo.
Como mencionado anteriormente, os IPSs evoluíram dos IDSs e têm muitas das mesmas funcionalidades. Embora algumas organizações possam usar soluções IPS e IDS separadas, a maioria das equipes de segurança implementa uma única solução integrada que oferece detecção robusta, logs, relatórios e prevenção automática de ameaças. Muitos IPSs permitem que as equipes de segurança desliguem as funções de prevenção, permitindo que atuem como IDSs puros se a organização desejar.
Os IPSs servem como uma segunda linha de defesa atrás de firewalls. Firewalls bloqueiam o tráfego malicioso no perímetro, enquanto IPSs interceptam qualquer coisa que consiga violar o firewall e entrar na rede.Alguns firewalls, especialmente firewalls de última geração, têm funções de IPS incorporadas.