Questões de Concurso Comentadas sobre sistemas de prevenção-detecção de intrusão em segurança da informação

Com relação ao sistema de detecção de intrusão (SDI/IDS) e sistema de prevenção de intrusão (SPI/IPS), avalie as asserções a seguir.

I. Um incidente de segurança, resultante de um ou mais eventos, em que o atacante obtém ou tenta obter acesso indevido ao sistema ou a seus recursos, caracteriza uma intrusão de segurança.

II. Ataque de agentes internos são muito difíceis de detectar, pois o intruso é um agente legítimo que opera de maneira não autorizada, dificultando a sua identificação.

III. Os potes de mel (honeypots) são importantes na detecção de intrusão, provendo um mecanismos seguro de captura de atividades não autorizadas.

IV. Uma característica intrínseca dos IPSs é a capacidade de bloquear ataques, diferindo do IDS, cuja principal função é detectar ataques e gerar alertas.

V. Um sistema de detecção de intrusão baseado em estação (HIDS) examina atividades do usuário e de software numa estação, enquanto que o sistema de detecção de intrusão baseado em rede (NIDS) faz isto em nível de rede.

É CORRETO apenas o que se afirma em:

O perímetro de segurança é formado por componentes que visam a proteger a rede interna de ações maliciosas de entidades hostis.

O componente capaz de identificar o tráfego de ataques maliciosos através de métodos de análise de tráfego por assinatura ou anomalia é o

Um sistema de prevenção de intrusos ou IPS é uma implementação em hardware ou software (geralmente ambos), instalado de forma a monitorar as atividades de uma rede, encontrando atividades maliciosas e comportamentos indesejáveis e reagindo de forma a prevenir tais ataques.

No chamado IPS de Host, a aplicação de segurança é instalada em máquina

Os N-IDS ou Sistemas de Detecção de Intrusão baseados em Redes utilizam métodos para informar e bloquear as intrusões. Considere os métodos abaixo.

I. Reconfiguração de dispositivos externos: um comando é enviado pelo N-IDS a um dispositivo externo (com um filtro de pacotes ou um firewall) para que se reconfigure imediatamente e possa bloquear uma intrusão. Esta reconfiguração é possível através do envio de dados que expliquem o alerta (no cabeçalho do pacote).

II. Envio de um trap SMTP a um supervisor externo (armadilha SMTP): é enviado um alerta (e detalhes dos dados envolvidos) em forma de um datagrama SMTP para um console externo.

III. Registro (log) do ataque: cria um backup dos detalhes do alerta em um repositório, incluindo informações como o registro da data, o endereço IP do intruso, o endereço IP do destino, o protocolo utilizado e a carga útil.

IV. Armazenamento de pacotes suspeitos: os pacotes originais capturados e/ou os pacotes que desencadearam o alerta são guardados.

V. Envio de um ResetKill: construção de um pacote de alerta IP para forçar o fim de uma conexão (válido apenas para as técnicas de intrusão que utilizam o protocolo de aplicação IP).

Estão corretos os métodos

Considere que um Sistema de Detecção de Intrusão (Intrusion Detection System − IDS) de um Tribunal foi configurado para realizar certo tipo de detecção. Um usuário, que sempre realiza o acesso à Internet no horário comercial, está sendo monitorado pelo IDS. Este IDS passou uma semana criando o perfil deste usuário e, a partir do último dia daquela semana, começou a empregar em seu perfil o horário comercial como o permitido para a utilização da Internet. Certo dia, após a detecção estar ativa, o usuário quis acessar a Internet durante a madrugada para entregar um relatório importante. Como este comportamento não estava de acordo com o perfil criado, a resposta a esta detecção realizada pelo IDS foi o bloqueio do acesso à Internet para aquele usuário. Neste caso, o IDS detectou um falso positivo. Embora isso possa ocorrer, pois o comportamento de usuários e sistemas pode variar amplamente, este tipo de detecção pode identificar novas formas de ataques.

O tipo relatado é denominado Detecção

Com relação a IDS, analise as afirmativas a seguir:

I. NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas.

II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.

III. IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos.

Está correto somente o que se afirma em:

Analise as afirmativas abaixo sobre os sistemas de prevenção e de detecção de ataques a uma rede de dados:

I- O IPS (Intrusion Prevention System) tem como objetivo diminuir a quantidade de alarmes falsos e prevenir os ataques.

II- O IDS (Intrusion Detection System) é capaz de detectar e de alertar os administradores quanto a possíveis ataques ou comportamentos anormais na organização.

III- Sistemas IDS (Intrusion Detection System) já agregam funcionalidades como filtro de conteúdo e de controle de autenticação e autorização de acesso a determinadas redes.

IV- Existem, atualmente, dois tipos de IDS (Intrusion Detection System) que podem ser implementados: o baseado em host (Host-Based Intrusion Detection System - HIDS) e o baseado em rede (Network-Based Intrusion Detection System - NIDS).

São corretas apenas as afirmativas