sistemas de detecção de intrusão pedro figueiredo
TRANSCRIPT
![Page 1: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/1.jpg)
Sistemas de Detecção de IntrusãoPedro Figueiredo
![Page 2: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/2.jpg)
Agenda
•Conceito de intrusão•SDIs – Características•Técnicas de detecção •Tipos de SDIs •Honeypots •Conclusão•Perguntas
![Page 3: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/3.jpg)
Intrusão
• Violação a:
- Integridade
- Disponibilidade
- Confiabilidade
![Page 4: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/4.jpg)
Exemplos de intrusão
•Usuário mascarado
•Ataques internos
•Scripts/ferramentas
![Page 5: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/5.jpg)
SDIs
•Identificar atividades maliciosas•Monitoramento•Análise dos dados•Geração de alertas (visual, e-mail,etc.)
•Passivos vs reativos Ex.: reconfigurar firewall, finalizar conexão TCP, iniciar aplicativo externo,etc.
![Page 6: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/6.jpg)
Técnicas de detecção
•Identificar ameaça a partir dos dados monitorados
•Análise de anomalias
•Análise de assinaturas
![Page 7: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/7.jpg)
Análise de anomalias
•Comportamento anormal : provavelmente suspeito
•Estabelece um padrão normal
•Observação por um longo período
•Utilização de regras
•IA: Redes Neurais Artificiais
![Page 8: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/8.jpg)
Análise de anomalias (2)
![Page 9: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/9.jpg)
Vantagens e Desvantagens
+ Violações detectadas em tempo quase real
+ Detecta ataques desconhecidos
+ Gera informações para novas assinaturas
- Comportamento imprevisível: alta taxa de
falsos-positivos
- Pode ser difícil determinar um padrão
normal
![Page 10: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/10.jpg)
Análise de assinaturas
•Ataques/vulnerabilidades conhecidas
(assinaturas)
•Dependente de base de dados
•Deve ser vasto e atualizado com
frequência
•Semelhante a AV
![Page 11: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/11.jpg)
Análise de assinaturas (2)
![Page 12: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/12.jpg)
Vantagens e Desvantagens
+ Mais eficiente: menos alarmes falsos
- Somente identifica ataques conhecidos
- Pode não detectar algumas variantes
- Dependente de atualização
![Page 13: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/13.jpg)
Tipos de SDIs
•Network-based (NIDS)•Host-based (HIDS)•Hibridos
![Page 14: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/14.jpg)
Baseados em rede (NIDS)
•Analisa tráfego da rede
•Pacotes de entrada e saída
•Posicionamento dos sensores
•Detecção por assinaturas
![Page 15: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/15.jpg)
NIDS - exemplo
![Page 16: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/16.jpg)
NIDS – Vantagens e Desvantagens+ Não interferem no funcionamento da
rede
+ Monitora redes grandes
- Redes com switch
- Não analisam dados criptografados
- Não indica se o ataque foi bem-sucedido
![Page 17: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/17.jpg)
Baseados em estação (HIDS)
•Instalado em uma estação
•Processos, logs de aplicativos, arquivos de
sistema, etc.
![Page 18: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/18.jpg)
HIDS - Exemplo
![Page 19: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/19.jpg)
HIDS – Vantagens e Desvantagens+ Bom para detectar ataques internos
+ Podem analisar dados criptografados
- Instalação e configuração para cada
instância
- Suscetível a ataques DoS
![Page 20: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/20.jpg)
Híbridos
•Combinação dos anteriores
•Exemplo: NIDS para a rede e HIDS para servidores-chaves
![Page 21: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/21.jpg)
Honeypots
•Recursos dedicados a serem atacados
•Livre de interações
•Honeypots de baixa interatividade
•Honeypots de alta interatividade
![Page 22: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/22.jpg)
Vantagens e desvantagens
+ Simples de implementar
+ Logs pequenos
+ Poucos recursos
+ Identificam novos ataques
- Não faz sentido sozinho
- Adiciona risco: pode ser invadido
![Page 23: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/23.jpg)
Conclusões
•Agrega valor a solução de segurança
•Integração com outras ferramentas , ex.: firewall
![Page 24: Sistemas de Detecção de Intrusão Pedro Figueiredo](https://reader035.vdocuments.pub/reader035/viewer/2022081507/552fc130497959413d8d4bc4/html5/thumbnails/24.jpg)
Perguntas1. Caracterize uma intrusão.2. Que vantagens apresenta o método de detecção de
invasão por análise de anomalias? E desvantagens?3. De que fatores depende a eficiência de um sistema
que utiliza o método de detecção baseado em análise de assinaturas?
4. Como são classificados os SDIs, em relação a forma de monitoramento? Explique as principais diferenças.
5. Quais são as vantagens e desvantagens da técnica honeypot?