Detecção

O papel dos Intrusion Detection Systems (IDS)

Um sistema de detecção de intrusão (IDS) é um aplicativo ou dispositivo usado para coletar e analisar informações que passam por uma rede ou host. Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host.

Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

Aqui estão algumas coisas para se manter em mente à medida que avançamos. Um IDS:

  • Foi concebido para detectar comportamentos maliciosos ou não-padrão;
  • Reúne informações de uma rede para detectar violações da política de segurança;
  • Relata violações e desvios a um administrador ou proprietário de sistema;

Um IDS de rede (NIDS) é um sniffer de pacotes. A diferença entre um sniffer de pacotes e um NIDS é que um NIDS inclui um mecanismo de regras, que compara o tráfego contra um conjunto de regras que determinam a diferença entre tráfego e atividades legítimas e maliciosas. (mais…)

Softwares antivírus falham em detectar novos malwares, afirma estudo

Um número significante de novos tipos de malware não é detectado por programas antivírus – e algumas das ameaças permanecem ocultas por mais de um mês, disseram analistas da empresa de segurança Palo Alto Networks.

Baseando-se em três meses de dados de 1.000 de seus próprios clientes, a Palo Alto descobriu que o seu sistema detector de malware – chamado Wildfire – identificou 68.047 novos malwares, sendo que 40% deles (26.363) não foram bloqueados por seis programas antivírus “líderes de mercado” (mas que não tiveram seus nomes revelados). (mais…)

Violações de dados demoram meses para serem detectadas

Segundo uma análise abrangente sobre incidentes globais realizada pela Trustwave, seis em cada 10 organizações atingidas por violações de dados levam mais de 3 meses para notar o que aconteceu – e alguns ataques ficam encobertos por anos.

Em 2012, isso significava que a média de tempo para descobrir uma violação de dados para os 450 ataques analisados foi de 210 dias – 35 a mais do que em 2011, informou a empresa de segurança em seu Relatório de Segurança 2013 (Global Security Report), que será publicamente divulgado em 20 de fevereiro. (mais…)

Mapeamento de Redes com nmap – ferramenta de código aberto com diversas funcionalidades

O nmap (reduzido de “Network Mapper”) é uma ferramenta livre, de código aberto, utilizada para ma­peamento de redes e inclui diversas funcionalidades como: varredura de portas, detecção de versão de ser­viços, identificação remota de sistemas operacionais (OS fingerprinting), etc. Esta ferramenta foi criada por Gordon “Fyodor” Lyon, que ainda hoje participa ativamente do desenvolvimento da mesma. O nmap é uma ferramenta versátil que é muito utilizada, entre outros, em auditorias, teste de invasão, teste em firewalls e testes de conformidade.

O nmap, em geral, opera nas camadas de rede e transporte. Entretanto, também é capaz de manipular dados da camada de enlace (endereças MAC e requi­sições ARP, por exemplo) e de interpretar dados da camada de aplicação para inferir informações interes­santes a respeito de seu alvo (versões de serviços e sistemas operacionais, por exemplo).

A versão mais nova do nmap por ser obtida atra­vés do site oficial. Informações adicionais às apresentadas neste artigo podem ser encontradas na documentação oficial ou no livro de autoria do próprio Fyodor dedicado à ferramenta (Nmap Network Scanning, Gordon “Fyodor” Lyon, Insecure.com LCC Publishings. ISBN: 978­0979958717), que inclu­sive tem uma versão traduzida em português brasileiro (Exame de Redes com NMAP, Gordon “Fyodor” Lyon, Editora Ciência Moderna. ISBN: 978­8573938654). Parte deste livro está disponível gratuitamente na Internet para leitura e consulta. (mais…)

IDS – Sistema de Detecção de Intrusos

Antes de serem abordados os conceitos de Sistema de Detecção de Intrusos (IDS), deve-se conhecer o que vem a ser uma intrusão em um sistema de informações. Um intruso, nesse domínio, pode ser definido como alguém que tenta invadir um sistema de informações ou fazer mau uso do mesmo. (NED, 1999). Logo, uma intrusão pode ser definida como: “Qualquer conjunto de ações que tentem comprometer a integridade, confidencialidade ou disponibilidade dos dados e/ou do sistema.” (HEADY, LUGER, MACCABE e SERVILLA, 1990). As intrusões, segundo Ned (1999), podem ser classificadas como: (mais…)

Pesquisador brasileiro cria método de detecção de malwares – iMasters

O pesquisador brasileiro Rodrigo Montoro está investigando a análise de cabeçalhos HTTP (Protocolo de Transferência de Hipertexto) como nova alternativa para a detecção de tráfego malicioso na Internet e na comunicação de máquinas infectadas por sites baseados em servidores C&C (Command and Control Server). (mais…)

Pesquisador brasileiro cria método de detecção de malwares

Em uma iniciativa inédita no mundo, um pesquisador brasileiro da Trustwave, empresa especializada em segurança da informação e soluções de conformidade com padrões de segurança, está investigando a análise de cabeçalhos HTTP (Protocolo de Transferência de Hipertexto) como nova alternativa para a detecção de tráfego malicioso na Internet e na comunicação de máquinas infectadas por sites baseados em servidores C&C (Command and Control Server). (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!