Questões de Concurso Sobre sistemas de prevenção-detecção de intrusão em segurança da informação

Considere que um Sistema de Detecção de Intrusão (Intrusion Detection System − IDS) de um Tribunal foi configurado para realizar certo tipo de detecção. Um usuário, que sempre realiza o acesso à Internet no horário comercial, está sendo monitorado pelo IDS. Este IDS passou uma semana criando o perfil deste usuário e, a partir do último dia daquela semana, começou a empregar em seu perfil o horário comercial como o permitido para a utilização da Internet. Certo dia, após a detecção estar ativa, o usuário quis acessar a Internet durante a madrugada para entregar um relatório importante. Como este comportamento não estava de acordo com o perfil criado, a resposta a esta detecção realizada pelo IDS foi o bloqueio do acesso à Internet para aquele usuário. Neste caso, o IDS detectou um falso positivo. Embora isso possa ocorrer, pois o comportamento de usuários e sistemas pode variar amplamente, este tipo de detecção pode identificar novas formas de ataques.

O tipo relatado é denominado Detecção

Com relação a IDS, analise as afirmativas a seguir:

I. NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas.

II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.

III. IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos.

Está correto somente o que se afirma em:

No contexto de sistemas de detecção de intrusão (Intrusion Detection System – IDS), é correto chamar de assinatura

Analise as afirmativas abaixo sobre os sistemas de prevenção e de detecção de ataques a uma rede de dados:

I- O IPS (Intrusion Prevention System) tem como objetivo diminuir a quantidade de alarmes falsos e prevenir os ataques.

II- O IDS (Intrusion Detection System) é capaz de detectar e de alertar os administradores quanto a possíveis ataques ou comportamentos anormais na organização.

III- Sistemas IDS (Intrusion Detection System) já agregam funcionalidades como filtro de conteúdo e de controle de autenticação e autorização de acesso a determinadas redes.

IV- Existem, atualmente, dois tipos de IDS (Intrusion Detection System) que podem ser implementados: o baseado em host (Host-Based Intrusion Detection System - HIDS) e o baseado em rede (Network-Based Intrusion Detection System - NIDS).

São corretas apenas as afirmativas

IDS (Intrusion Detections System) e IPS (Intrusion Prevention System) são componentes essenciais nos ambientes corporativos na atualidade. Um IDS tem a capacidade de detectar diversos tipos de ataques e intrusões, auxiliando na proteção do ambiente, sendo que a sua localização é um ponto muito importante a ser definido com bastante cuidado. Já o IPS, não apenas detecta, como também tem a capacidade de prevenir esses tipos de ataques. HIDS (Host-Based Intrusion Detection System – Sistema de Detecção de Intrusão baseado em Host) e NIDS (Network-Based Intrusion Detection System – Sistema de Detecção de Intrusão baseado em Rede) são dois tipos primários de IDS. Sobre NIDS e HIDS, analise as afirmativas a seguir.

I. O NIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema.
II. O HIDS é independente da topologia da rede, podendo ser utilizado em redes separadas por switches.
III. HIDS não causa impacto no desempenho da rede.
IV. Com o HIDS, o monitoramento pode ser fornecido por múltiplas plataformas.
V. Com o NIDS funcionando, é difícil que um hacker possa apagar seus rastros, caso consiga invadir um equipamento.

Estão corretas apenas as afirmativas

Com relação aos Sistemas de Detecção de Intrusão (IDSs), analise as assertivas e assinale a alternativa que aponta as corretas. I. As abordagens baseadas em assinaturas envolvem a coleta, por um período de tempo, de dados relacionados a um comportamento padrão dos usuários ou do tráfego da rede. Quando ocorre um comportamento fora do padrão observado, um alerta é gerado. II. Um sistema IDS pode ser capaz de identificar um comportamento que sugira a presença de um malware no sistema. III. Um IDS baseado em anomalia poderia detectar um ataque de negação de serviço (DoS) após perceber um aumento significativo no tráfego de pacotes ou de tentativas de conexão a um sistema. IV. Em um sensor passivo de um IDS baseado em rede (NIDS), o tráfego monitorado é uma cópia do tráfego de rede. Isto é, o tráfego real não passa pelo sensor.

Para solucionar determinados problemas com intrusões na rede de uma organização, um Técnico implantou, no sistema geral de segurança, o Intrusion Detection System − IDS (Sistema de Detecção de Intrusão) do tipo Network Behavior Analysis − NBA que

Sistemas de detecção de intrusão − IDS e sistemas de prevenção de intrusão − IPS devem ser utilizados para identificar e, se possível, prevenir ataques realizados em redes de computadores. Entretanto, é necessário configurar o sistema com a identificação de comportamentos dos vários tipos de ataques para o seu bom funcionamento. Um desses tipos de ataque tem como objetivo saturar a capacidade de comunicação de rede do servidor por meio de pacotes ICMP em Broadcast no qual o endereço de origem é alterado para a emissão de várias respostas para a vítima. Trata-se do ataque conhecido como

Correlacione a coluna A, contendo as soluções de segurança de rede, com a coluna B, contendo suas respectivas funções e, em seguida, assinale a alternativa que apresenta a sequência correta. Coluna A 1. Firewall 2. Proxy 3. IPS Coluna B ( ) Age como um intermediário para requisições de clientes, solicitando recursos de outros servidores. Pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso mesmo sem se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado. Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros. ( ) Regula o tráfego de dados entre uma rede local e a rede externa não confiável por meio da introdução de filtros para pacotes ou aplicações e impede a transmissão e/ou recepção de acessos nocivos ou não autorizados dentro de uma rede local. ( ) Tem como função a detecção e o impedimento de ataques contra certos recursos da rede, concentrase em automaticamente defender o alvo do ataque sem a intervenção de um administrador (funções automatizadas). Recomenda-se trabalhar em conjunto com outras soluções de segurança de rede.

Um Sistema de Detecção de Intrusão (IDS) baseado em Rede (NIDS) tem como característica

Existem basicamente três tipos de sistema de detecção de intrusão Host-Based Intrusion Detection (HIDS), Network-Based Intrusion Detection (NIDS) e IDS híbrido (Hybrid IDS). Pode-se citar como ponto forte do Host-Based Intrusion Detection (HIDS) que

O sistema de detecção de intrusão é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente (Nakamura, 2001).

Dentre os sistemas de detecção e de prevenção de intrusão, o sistema que trabalha, capturando pacotes da rede e realizando a análise de acordo com padrões ou assinaturas conhecidos, além de ser capaz de detectar intrusões com base em registros e em eventos do sistema, é o

IDSs são recursos para identificar adequadamente as invasões de ataques em uma rede. O IDS de Estação (Host) se caracteriza por

Na segurança de redes, principalmente em redes corporativas, o sistema de detecção de intrusão, ou IDS (Intrusion Detection System) é um componente com importância vital. Ele tem a capacidade de detectar diversos tipos de ataque e intrusões, auxiliando na proteção do ambiente, sendo que sua localização deve ser definida com bastante cuidado. Existem dois tipos primários de IDS: HDIS (Host-Based Intrusion Detection System), baseado em host, e o NDIS (Network-Based Intrusion Detection System), baseado em rede. São alguns pontos fortes do HDIS, EXCETO:

Um tipo de ameaça que é detectável de forma direta por sistemas de detecção de intrusão (IDS em inglês) éa(o):

Um Analista sugeriu corretamente instalar, como mecanismo de segurança da informação, um

Um Técnico precisa encontrar uma solução de segurança que seja capaz de realizar as ações:

− Enviar um alarme ao administrador;

− Derrubar pacotes maliciosos;

− Bloquear o tráfego a partir do endereço de origem;

− Redefinir a conexão.

A solução correta indicada pelo Técnico é utilizar um

Um IDS é: