Acerca de sistemas de detecção de intrusos (IDS e IPS), assi...

A alternativa correta é a E - V, V, V.

Vamos explorar cada uma das afirmativas e entender por que elas estão corretas.

1ª Afirmativa: "Aprendizado de máquina (machine learning) tem sido utilizado para aumentar a eficiência de IDS baseados em comportamento."

O aprendizado de máquina tem sido amplamente utilizado para aprimorar os IDS (Intrusion Detection Systems) baseados em comportamento. Esses sistemas analisam padrões de tráfego e atividades para identificar comportamentos anômalos que possam indicar um ataque. O uso de aprendizado de máquina permite que o IDS melhore continuamente sua capacidade de distinguir entre tráfego legítimo e malicioso, reduzindo a quantidade de falsos positivos e falsos negativos.

2ª Afirmativa: "A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques."

Com o aumento do uso de criptografia para proteger dados em trânsito, os NIDS (Network Intrusion Detection Systems) enfrentam desafios adicionais. A criptografia dificulta a inspeção profunda de pacotes (DPI - Deep Packet Inspection), uma vez que o conteúdo dos pacotes está protegido. Isso limita a capacidade do NIDS de analisar o tráfego detalhadamente e identificar atividades maliciosas, complicando a detecção de certos tipos de ataques.

3ª Afirmativa: "IPS baseados em assinatura trazem o risco de bloquear tráfego legítimo."

Os IPS (Intrusion Prevention Systems) baseados em assinatura funcionam comparando o tráfego de rede com um banco de dados de assinaturas conhecidas de ataques. Embora sejam eficazes na identificação de ameaças conhecidas, há um risco de ocorrerem falsos positivos, onde tráfego legítimo é erroneamente identificado como malicioso e bloqueado. Isso pode causar interrupções no funcionamento normal da rede ou dos serviços.

Portanto, todas as afirmativas estão corretas, justificando a escolha da alternativa E - V, V, V.

GAB E

I - O IDS baseado em comportamento/anomalia consegue detectar um ataque mesmo sem o conhecer. O uso de machine learning pode sim aumentar sua eficiência

II - NIDS não é capaz de analisar informações criptografadas, só o HIDS

III - Os alarmes falsos acontecem tanto na abordagem baseada em assinatura quanto na baseada em anomalia. No entanto, o que usa "detecções por anomalia, são muito mais eficientes, gerando um numero bem menor de alarmes falsos"

[1] https://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/assinaturas.html

✔️ PARA AJUDAR A FIXAR

Você precisa saber sobre o NIDS:

>> Não informa ataques bem ou mal sucedidos

>> Não analisa informações criptografadas

>> Utiliza recurso de Sniffer

>> Baseado em redes

>> Monitora e analisa todo o tráfego no segmento da rede

>> É um tipo de IDS

( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques. (certo) Ex: um SSL

FONTE: Alfacon

Vamos juntos!!

✍ GABARITO: E ✅de É sua a vaga

TUDO V

1- Aprendizado de máquina (machine learning) é um campo da inteligência artificial que explora a construção de algoritmos que podem aprender com seus erros e com a experiência prévia de forma automatizada, com o mínimo de intervenção humana. Ele tem sido utilizado para aumentar a eficiência de IDS (Sistemas de Detecção de Intrusão) baseados em comportamento. Um exemplo disso é o IDS baseado em anomalia, que mapeia o perfil de rede considerado “normal” e emprega técnicas como redes neurais e aprendizado de máquina para identificar um tráfego anômalo. Isso permite que o sistema identifique comportamentos maliciosos e possa tomar medidas para proteger a rede.

2- NIDS é a sigla para Network Intrusion Detection System (Sistema de Detecção de Intrusão em Rede). É uma classe de IDS (Sistema de Detecção de Intrusão) que foca em analisar o fluxo de informações que transitam pela rede, buscando encontrar padrões comportamentais suspeitos . Um sistema NIDS geralmente é implementado em locais estratégicos da rede, como antes ou logo após o firewall, em sub-redes importantes dentro de uma mesma rede ou em áreas DMZ para evitar que usuários dentro dessa área tentem acessar a rede corporativa .

A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques porque ele é incapaz de analisar o tráfego criptografado, como é o caso de VPNs . Isso significa que quando os pacotes são criptografados, o NIDS não consegue ler seu conteúdo e, portanto, não pode detectar se há algum ataque ou atividade maliciosa acontecendo.

3- IPS baseados em assinatura trazem o risco de bloquear tráfego legítimo porque eles usam assinaturas para identificar tráfego mal-intencionado. Normalmente, essas assinaturas são baseadas em vulnerabilidades ou explorações específicas e podem ser detecção baseada em assinatura ou detecção baseada em anomalia estatística para identificar atividade mal-intencionada. No entanto, como as assinaturas são criadas com base em padrões conhecidos de tráfego mal-intencionado, elas podem não ser capazes de distinguir entre tráfego legítimo e mal-intencionado em todos os casos. Isso pode levar a bloqueios de tráfego legítimo, o que é conhecido como falso positivo.