Existem dois tipos primários de IDS (Intrusion Detections Sy...
Já vi questões da CESPE alegando que os IDS's têm uma alta incidência de falsos positivos, alguém pode me explicar ?
creio que a questão queria a incorreta
A É capaz de detectar não só ataques, mas, também, as tentativas de ataque que não tiveram resultado. Se o ataque não chegou ao host o HIDS não tem essa característica.
B Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques. Gabarito
C Pode monitorar atividades suspeitas em portas conhecidas, como a porta TCP 80, que é utilizada pelo HTTP. Característica do NIDS.
D Com ele funcionando é difícil que um hacker possa apagar seus rastros caso consiga invadir um equipamento. Foge do escopo(seria um escopo local) de um IDS de HOST, mais adequada para um NIDS.
E Os ataques podem ser detectados e identificados em tempo real e o usuário pode determinar rapidamente o tipo de resposta apropriado. Essa característica de um sistema centralizado de "ações" tem mais haver com o NIDS.
genericamente todo IDS por apenas fazer a detecção ja gera muitos falsos positivos..essa Letra B eu descartei na hora por se tratar que a questao queria a correta...
Segundo Nakamura: "O HIDS pode verificar o sucesso ou FALHA de um ataque, com base nos registros (logs) do sistema".
Ou seja, além da Letra B, a Letra A está certa também.
Alguém mais concorda?
Gabarito comentado:
Alternativa correta: B - Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques.
Vamos entender melhor por que essa é a alternativa correta e analisar as demais alternativas para esclarecer eventuais dúvidas.
Sobre IDS (Intrusion Detection Systems):
IDS são sistemas que monitoram atividades em um sistema ou rede para identificar comportamentos suspeitos que possam indicar um ataque ou uma intrusão. Existem dois tipos principais de IDS:
- HIDS (Host-Based Intrusion Detection System): Monitora atividades em um host específico (ou seja, um único computador ou servidor).
- NIDS (Network-Based Intrusion Detection System): Monitora atividades em toda a rede, inspecionando o tráfego de rede.
Agora, vamos justificar a alternativa correta:
Alternativa B: Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques.
O HIDS geralmente gera menos falsos positivos porque ele analisa atividades específicas do sistema operacional do host, como logs de eventos, registros de auditoria e acessos a arquivos. Isso permite uma detecção mais precisa de atividades anômalas, resultando em menos alarmes falsos.
Vamos analisar as alternativas incorretas:
Alternativa A: É capaz de detectar não só ataques, mas, também, as tentativas de ataque que não tiveram resultado.
Esta característica é mais associada ao NIDS, que monitora todo o tráfego de rede e consegue identificar tanto os ataques bem-sucedidos quanto as tentativas de ataque.
Alternativa C: Pode monitorar atividades suspeitas em portas conhecidas, como a porta TCP 80, que é utilizada pelo HTTP.
O monitoramento de portas específicas é uma característica típica do NIDS, que inspeciona pacotes de dados em trânsito na rede.
Alternativa D: Com ele funcionando, é difícil que um hacker possa apagar seus rastros, caso consiga invadir um equipamento.
Embora o HIDS possa dificultar a ação de hackers para apagar rastros, esta não é uma característica distintiva. Os invasores ainda podem desativar ou alterar os registros do HIDS se conseguirem privilégios administrativos.
Alternativa E: Os ataques podem ser detectados e identificados em tempo real e o usuário pode determinar rapidamente o tipo de resposta apropriado.
Esta característica está mais associada ao NIDS, que é projetado para detectar e responder a ataques em tempo real, analisando o tráfego de rede.
Espero que esta explicação tenha ajudado a esclarecer o tema da questão. Caso tenha mais dúvidas ou precise de mais detalhes, estou à disposição!