Os sistemas de detecção e prevenção de intrusão observam todas as atividades em uma rede, mantêm registros dessa atividade e procuram intrusões e ataques. As soluções de detecção e prevenção de intrusão podem ser implementadas separadamente ou em conjunto, embora ter ambas seja geralmente mais benéfico porque a detecção e a resposta são importantes para a segurança da rede. Com o tempo, os sistemas de detecção de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) se fundiram para se tornarem sistemas de detecção e prevenção de intrusão (IDPS).
IDS
Os sistemas de detecção de intrusão monitoram o tráfego da rede e registram todas as atividades nos logs do sistema, que podem ser estudados quanto aos padrões. Um sistema de detecção de intrusão é conhecido por sua capacidade de estudar a atividade da rede e, em seguida, detectar um comportamento incomum. Ele observa a rede quanto a diferentes padrões de tráfego, incluindo aqueles característicos de worms ou vírus, e alerta equipes de TI ou administradores sobre atividades suspeitas ou ataques. O IDS pode ser programado para esperar determinado comportamento normal da rede e o que normalmente ocorre dentro de segmentos da rede; seu recurso de detecção de anomalias sinaliza ações não características que não se alinham com a programação.
O IDS vê a aparência de uma intrusão e usa registros anteriores, chamados assinaturas de intrusão, para ver se um novo padrão também pode ser uma intrusão. O IDS acessa esses dados por meio de arquivos de log que a rede mantém. Mas esta é a fraqueza de um sistema de detecção de intrusão, também se limita a observar intrusões que já aconteceram.
O software IDS tem diferentes níveis e preços; também pode ser instalado como hardware em um sistema de computador.
IPS
Os sistemas de prevenção de intrusão analisam o tráfego da rede, filtram as solicitações e permitem ou bloqueiam as solicitações de acordo. O IPS é mais proativo do que o IDS porque pode responder ao comportamento. No entanto, pode ser opressor para as equipes de TI, porque qualquer atividade estranha, mesmo inócua, sobrecarregará a equipe de tecnologia com alertas. Se um IPS não for inteligente e não puder interpretar bem a atividade da rede, será quase impossível para os humanos classificarem a enxurrada de alertas do sistema.
Os sistemas de prevenção de intrusão podem estar sujeitos a falsos positivos e negativos: um falso positivo bloqueia um pacote legítimo que parece suspeito, e um falso negativo perde o tráfego malicioso. O aprendizado de máquina implementado na prevenção de intrusões pode ajudar o sistema a se tornar mais preciso se a tecnologia aprender melhor os padrões de rede e detectar problemas reais com mais precisão. A automação mais avançada pode diminuir o número de falsos positivos e negativos. As equipes de segurança geralmente precisam refinar as regras para evitar o disparo de alertas falsos ou insignificantes.
Os serviços de prevenção de intrusão podem ser baseados na rede ou no host. O IPS baseado em rede fica próximo ao firewall e monitora o tráfego da rede. O IPS baseado em host está mais próximo de um computador ou outro ponto de extremidade (próximo ao host).
Usando sistemas de detecção e prevenção de intrusão (IDPS)
Como mencionado anteriormente, a detecção e a prevenção de intrusões costumam ser agrupadas automaticamente, embora possam ser implementadas como soluções separadas. Eles são mais eficazes juntos, no entanto. Detectar uma possível atividade anormal no arquivo de log de um aplicativo não adianta muito se o sistema não puder realizar ações para rastrear e reprimir um intruso. E sem um software para monitorar todo o tráfego da rede, os sistemas de prevenção não serão capazes de localizar atividades maliciosas com a mesma eficácia. Embora o IDPS não seja a solução perfeita para toda a segurança de rede, é melhor implantar a detecção e a prevenção se você estiver planejando usar uma delas.