Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

Transcrição

1 Detecção de Intrusão Disciplina: Auditoria de Sistemas Prof. Luiz Antonio Curso: Segurança Patrimonial Intrusão É o processo pelo qual algo tenta violar uma sistema. A intrusão pode ser de fora ou de elementos do próprio sistema. Exemplo: Um invasor que tenta penetrar em um sistema para danificá-lo. Intruso Alguém que tenta invadir um sistema ou fazer mau uso do mesmo. Podemos classificar em dois tipos: Intrusos Externos pessoas de fora da instituição (geralmente da Internet ou através de Engenharia Social) que tentam ataques de invasão. Intrusos Internos pessoas de dentro da instituição que tentam ataques de invasão. A maior porcentagem de ataques tem origem dentro da própria instituição (conhece melhor rede e a empresa)

2 Detecção de Intrusão A Detecção de Intrusão Envolve coletar e analisar informações e identificar e rastrear ataques. Sistemas de Detecção de Intrusão (IDS): Ferramentas que executam a detecção de intrusão. Sistemas de Detecção de Intrusão Monitoração de eventos Rede, Terminal ou Aplicação Objetiva identificar ataques Ataques geram alertas Opcionalmente podem ser enviadas respostas: Encerramento de conexões, de processos, alteração em permissões de arquivos Sistemas de Detecção de Intrusão Seres Vivos Os anticorpos constituem o mais específico mecanismo de defesa que nosso organismo possui. Identificam e produzem um alerta para detectar e barrar substâncias estranhas no corpo.

3 Sistemas de Detecção de Intrusão Seres Vivos Quando injetamos em um animal uma substância estranha, certos glóbulos brancos do sangue produzem e lançam na corrente sangüínea um tipo especial de proteína (anticorpo) capaz de se unir especificamente à molécula estranha, inativando-a. Sistemas de Detecção de Intrusão Fonte dos Dados Resposta Analise Alerta Método Baseado em Comportamento Cria um perfil para os usuários Classifica o comportamento como normal ou anômalo Procura por anomalias Para situações consideradas anormais são gerados alertas

4 Método Baseado em Comportamento Vantagens: Detecção de ataques deconhecidos Esforço de manutenção reduzido Desvantagens: Dificuldade de configuração Dificuldade de lidar com mudanças normais de comportamento Método Baseado em Comportamento Sistemas adaptativos: Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; Alerta para situações fora do padrão Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora Método Baseado em Comportamento Análise estatística: São montados modelos estatísticos do ambiente Eventos fora do modelo são considerados ataques em potencial Tempo de sessão na Internet Quantidade de download/upload

5 Método Baseado em Conhecimento Semelhante ao funcionamento de anti-virus: Deve existir uma base de ataques conhecidos A base deve sempre ser atualizada Os eventos são comparados com as informações da base Se um evento estiver na base, é gerado um alerta Método Baseado em Conhecimento Vantagens: Baixo número de alertas falsos Desvantagens: Só detecta ataques conhecidos Dificuldade de manutenção Método Baseado em Conhecimento Análise de assinaturas: Existe uma base de assinaturas Assinaturas são definições de ataques Compara os eventos com a base de assinaturas Comunicação da porta 80 TCP da Web Acesso ao arquivo de senhas Acesso à tabela de salários

6 Método baseado no Alvo Baseado em Host (terminais): Monitora as informações do host em que está instalado Trabalha com processos, usuários, arquivos e diretórios Método baseado no Alvo Baseado em Rede: Monitora as informações da rede em que está instalado Trabalha com endereços IP, portas TCP/UCP Método baseado no Alvo Baseado em Aplicação: Monitora as informações de uma aplicação específica Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial Trabalha com tabelas, telas e funções