Os sistemas de detecção de intrusão normalmente apresentam b...

Gabarito: E - Errado

Vamos entender por que a resposta correta é "Errado" e aprofundar nosso conhecimento sobre firewalls e sistemas de detecção de intrusão (IDS - Intrusion Detection Systems).

Os sistemas de detecção de intrusão (IDS) têm a função de monitorar o tráfego de rede e/ou atividades do sistema em busca de comportamentos suspeitos ou conhecidos como maliciosos. Existem dois tipos principais de IDS: de rede (NIDS) e baseado em host (HIDS).

Justificativa da Alternativa Correta:

A afirmação de que os sistemas de detecção de intrusão "normalmente apresentam baixa incidência de falsos-positivos" é incorreta. Na prática, os IDS frequentemente enfrentam o desafio de lidar com falsos-positivos, que ocorrem quando o sistema reage a uma atividade legítima como se fosse maliciosa. Isso é um dos maiores desafios na configuração e manutenção desses sistemas, pois pode levar a muitos alertas desnecessários, sobrecarregando os administradores de rede.

Por que isso acontece? Os IDS precisam ter uma sensibilidade alta para capturar possíveis ameaças, o que pode fazer com que atividades normais mas incomuns para o sistema sejam interpretadas como intrusivas. Além disso, a complexidade e a variedade das redes modernas dificultam a criação de regras e assinaturas precisas.

Alternativa Incorreta:

Se a alternativa fosse "Certo", estaria afirmando que os IDS apresentam uma baixa incidência de falsos-positivos, o que não é verdade devido aos fatores mencionados. Assim, quem escolhe a alternativa "E" demonstra entender que a incidência de falsos-positivos é, na verdade, um problema comum e recorrente nos sistemas de detecção de intrusão.

Em resumo, para resolver essa questão corretamente, é necessário ter conhecimento sobre as limitações e desafios dos IDS, especialmente no que se refere à ocorrência de falsos-positivos.

Caso tenha outras dúvidas ou precise de mais esclarecimentos, estarei à disposição!

Falso positivo ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima;
Falso negativo ocorre quando uma intrusão real acontece mas a ferramenta permite que ela passe como se fosse uma ação legítima;

A incidência tanto do falso positivo como o falso negativo dependem do grau de ajuste do firewall. Se o firewall estiver muito ajustado ele pode ter alta taxa de falso positivos se estiver muito "solto" pode ter alto grau de falso negativos.

  É exatamente o contrário. Essa é uma grande caracteristicas do IDS .

IDS apresentam GRANDE incidência de FALSOS POSITIVOS, acho que o colega Amândio se enganou.
Abraços, vamo que vamo.

Alguém pode explicar melhor o porquê?

A incidencia de falsos positivos são grandes, pois normalmente quando se instala um IDS, são feitas confirações iniciais (entenda-se por regras) que vão dizer o que é considerado um ataque ou não. Porém essas regras podem estar mal ajustadas, fazendo com que eventos cotidianos que não sejam ataques, sejam classificados como ataques pelo IDS, ou seja, um falso positivo.

Ou seja, o IDS classifica muitos eventos como sendo ataque, porém esses enventos não são ataques, a classificação FALSA foi gerada por um ajuste errado na regra de classificação do ataque.