• Home
• Introdução
• Tipos
• Técnicas
• Conclusão
• Referências
• Perguntas

Perguntas

1. Caracterize uma intrusão.

R: Uma intrusão é definida como uma atividade mal-intencionada realizada por uma pessoa com o intuito de comprometer um dos seguintes aspectos de um sistema computacional: integridade dos dados, disponibilidade de recursos/serviços, confidencialidade dos dados.

2. Que vantagens apresenta o método de detecção de invasão por análise de anomalias? E desvantagens?

R: Como basta comparar o tráfego monitorado com um padrão esperado, as violações podem ser detectadas praticamente em tempo real. Além disso, como não há dependência de uma base de dados de ataques conhecidos, também é possível detectar ataques até então desconhecidos. Como desvantagens, este método não pode ser usado em sistemas que apresentem uso não-regular e, na prática, apresenta uma taxa bem maior de alarmes devido a falsos positivos (devido a comportamentos imprevisíveis do usuário ou do sistema), o que é suficiente para fazer com que seja menos usado que a detecção por assinaturas.

3. De que fatores depende a eficiência de um sistema que utiliza o método de detecção baseado em análise de assinaturas?

R: Para que estes sistemas sejam capazes de detectar uma grande quantidade de ataques, é necessário que a empresa responsável pela venda/manutenção do produto forneça um banco de dados de regras bastante vasto e que seja frequentemente atualizado, para garantir prevenção contra as ameaças que surgem diariamente (assim como acontece com as soluções antí-virus).

4. Como são classificados os SDIs, em relação a forma de monitoramento? Explique as principais diferenças.

R: São classificados em: Host-based Intrusion Detection Systems (HIDS) e Network-Based Intrusion Detection Systems (NIDS) e híbridos. Os HIDS monitoram dados da estação em que estiver instalado, como logs de aplicativos, arquivos de sistema,etc., sendo efetivos para detectar ataques internos. Já os NIDS monitoram todo o tráfego que passa por uma rede, através do posicionamento estratégico (em pontos críticos da rede) dos chamados sensores, que coletam e analisam todos os pacotes, tanto os de entrada quanto os de saída. Os híbridos são apenas combinações dos anteriores.

5. Quais são as vantagens e desvantagens da técnica honeypot?

R: Vantagens: são simples de implementar e exigem pouco hardware; utilizam pouca banda da rede (pois só analisam o tráfego direcionado a eles); mantém logs pequenos que são fáceis de ler e contém informações importantes; são capazes de descobrir ataques nunca antes usados.

Desvantagens: não traz nenhuma solução se for usado de forma independente; pode não coletar nenhum dado caso não haja interação; adiciona risco a solução, podendo ser invadido e usado para causar outros prejuízos.

anterior | início