Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Sistemas de Detecção de Intrusão
Pedro Figueiredo
2
Agenda Conceito de intrusão SDIs – Características
Técnicas de detecção Tipos de SDIs Honeypots Conclusão Perguntas
3
Intrusão Violação a: - Integridade - Disponibilidade - Confiabilidade
4
Exemplos de intrusão Usuário mascarado Ataques internos
Scripts/ ferramentas
5
SDIs Identificar atividades maliciosas Monitoramento Análise dos dados
Geração de alertas (visual, ,etc.) Passivos vs reativos Ex.: reconfigurar firewall, finalizar conexão TCP, iniciar aplicativo externo,etc.
6
Técnicas de detecção Identificar ameaça a partir dos dados monitorados
Análise de anomalias Análise de assinaturas
7
Análise de anomalias Comportamento anormal : provavelmente suspeito
Estabelece um padrão normal Observação por um longo período Utilização de regras IA: Redes Neurais Artificiais
8
Análise de anomalias (2)
9
Vantagens e Desvantagens
+ Violações detectadas em tempo quase real + Detecta ataques desconhecidos + Gera informações para novas assinaturas Comportamento imprevisível: alta taxa de falsos-positivos Pode ser difícil determinar um padrão normal
10
Análise de assinaturas
Ataques/vulnerabilidades conhecidas (assinaturas) Dependente de base de dados Deve ser vasto e atualizado com frequência Semelhante a AV
11
Análise de assinaturas (2)
12
Vantagens e Desvantagens
+ Mais eficiente: menos alarmes falsos Somente identifica ataques conhecidos Pode não detectar algumas variantes Dependente de atualização
13
Tipos de SDIs Network-based (NIDS) Host-based (HIDS) Hibridos
14
Baseados em rede (NIDS)
Analisa tráfego da rede Pacotes de entrada e saída Posicionamento dos sensores Detecção por assinaturas
15
NIDS - exemplo
16
NIDS – Vantagens e Desvantagens
+ Não interferem no funcionamento da rede + Monitora redes grandes Redes com switch Não analisam dados criptografados Não indica se o ataque foi bem-sucedido
17
Baseados em estação (HIDS)
Instalado em uma estação Processos, logs de aplicativos, arquivos de sistema, etc.
18
HIDS - Exemplo
19
HIDS – Vantagens e Desvantagens
+ Bom para detectar ataques internos + Podem analisar dados criptografados - Instalação e configuração para cada instância - Suscetível a ataques DoS
20
Híbridos Combinação dos anteriores
Exemplo: NIDS para a rede e HIDS para servidores-chaves
21
Honeypots Recursos dedicados a serem atacados Livre de interações
Honeypots de baixa interatividade Honeypots de alta interatividade
22
Vantagens e desvantagens
+ Simples de implementar + Logs pequenos + Poucos recursos + Identificam novos ataques Não faz sentido sozinho Adiciona risco: pode ser invadido
23
Conclusões Agrega valor a solução de segurança
Integração com outras ferramentas , ex.: firewall
24
Perguntas Caracterize uma intrusão.
Que vantagens apresenta o método de detecção de invasão por análise de anomalias? E desvantagens? De que fatores depende a eficiência de um sistema que utiliza o método de detecção baseado em análise de assinaturas? Como são classificados os SDIs, em relação a forma de monitoramento? Explique as principais diferenças. Quais são as vantagens e desvantagens da técnica honeypot?
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.