Why should Intrusion Prevention Systems be used?
IPS technologies can detect or prevent network security attacks such as brute force attacks, Denial of Service (DoS) attacks and vulnerability exploits. Uma vulnerabilidade é uma fraqueza em um sistema de software e um exploit é um ataque que alavanca essa vulnerabilidade para ganhar o controle de um sistema., Quando um exploit é anunciado, muitas vezes há uma janela de oportunidade para os atacantes para explorar essa vulnerabilidade antes do patch de segurança é aplicado. Um sistema de prevenção de intrusão pode ser usado nestes casos para bloquear rapidamente esses ataques.
porque as tecnologias de IPS vigiam os fluxos de pacotes, elas também podem ser usadas para impor o uso de protocolos seguros e negar o uso de protocolos inseguros, tais como versões anteriores de SSL ou protocolos usando Cifras fracas.como funcionam os sistemas de prevenção de intrusões?,as tecnologias de
IPS têm acesso aos pacotes onde são implantadas, quer como Sistemas de detecção de intrusão na rede (NIDS), quer como Sistemas de detecção de intrusão no hospedeiro (HIDS). A rede IPS tem uma visão maior de toda a rede e pode ser implantada online na rede ou offline para a rede como um sensor passivo que recebe pacotes de uma porta de rede TAP ou SPAN.o método de detecção utilizado pode ser baseado na assinatura ou anomalia. Assinaturas predefinidas são padrões de ataques de rede bem conhecidos. O IPS compara fluxos de pacotes com a assinatura para ver se há uma correspondência padrão., Sistemas de detecção de intrusão baseados em anomalias usam heurísticas para identificar ameaças, por exemplo comparando uma amostra de tráfego com uma linha de base conhecida.qual é a diferença entre IDS e IPS?implementações iniciais da tecnologia foram implantadas no modo de detecção em aparelhos de segurança dedicados. Como a tecnologia amadureceu e se mudou para dispositivos integrados de Firewall de próxima geração ou UTM, a ação padrão é definida para prevenir o tráfego malicioso.,em alguns casos, a decisão de detectar e aceitar ou prevenir o tráfego baseia-se na confiança na protecção específica dos IPS. Quando existe menor confiança numa protecção IPS, existe uma maior probabilidade de falsos positivos. Um falso positivo é quando os IDS identificam uma atividade como um ataque, mas a atividade é um comportamento aceitável. Por esta razão, muitas tecnologias IPS também têm a capacidade de capturar sequências de pacotes do evento de ataque. Estes podem então ser analisados para determinar se houve uma ameaça real e para melhorar ainda mais a proteção IPS.