Um IDS é o monitoramento em tempo real da atividade de uma rede ou sistema e a análise dos dados em busca de vulnerabilidades

Um IDS é o monitoramento em tempo real da atividade de uma rede ou sistema e a análise dos dados em busca de vulnerabilidades potenciais e ataques que estejam ocorrendo.

Sistemas de detecção de intrusão (IDS) estão rapidamente se tornando componentes indispensáveis em várias estratégias de segurança organizacionais. Esse grande crescimento é dado graças à idéia de que qualquer sistema IT está sujeito a ser alvo de algum tipo de ataque.

Até recentemente, soluções envolvendo IDS eram tidas como necessárias apenas para grandes empresas. Hoje, o uso intenso e a dependência da internet para até mesmo pequenos negócios mudaram essa dinâmica. Essa grande conectividade à internet gerou riscos maiores do que nunca para que os sistemas dessas organizações sejam comprometidos por acesso não autorizado de fora de tais organizações.

Estima-se que hoje existam 19 milhões de pessoas em todo o mundo com a habilidade necessária para atacar sistemas de computadores. Ainda por cima, cresce o número de ferramentas de ataque automáticas disponíveis na rede, algumas bem sofisticadas, dando o poder a um usuário comum de fazer coisas que tipicamente só hackers de grande habilidade fariam.

Uma pesquisa sobre “cyber crimes” fornecida pelo Computer Security Institute mostra que 40% dos entrevistados sofreram uma invasão de sistema, 36% um ataque que danificou os serviços oferecidos, 26% reportaram roubo de informações particulares e 12% sofreram uma fraude financeira. 18% sofreram sabotagem, 23% tiveram seus sites hackeados mais de 10 vezes, das quais 90% resultaram em vandalismo e 13% incluíram roubo de informações de transações.

Também devemos ressaltar o decréscimo no “tempo de vida” dos ataques maliciosos. Um hacker com más intenções pode perfeitamente rastrear um sistema à procura de vulnerabilidades, ganhar acesso ao sistema, modifica-lo ou remover informações e depois apagar qualquer traço de seus atos em questão de minutos.

Temos aqui um gráfico que demonstra o cerscimento de incidentes reportados ao CERT, que é um centro de coordenação em segurança na internet, localizado no IES, nos EUA.

Figura 1- Crescimento do número de ataques (figura retirada de http://mural.uv.es/emial/informatica/html/IDS.html)

A importância de um IDS resume-se no fato de que há apenas três meios de se saber da ocorrência de um ataque: descoberta, procura e um IDS. A descoberta geralmente ocorre ao acaso, podendo o ataque já ter gerado danos irreparáveis. A procura só funciona depois que o ataque aconteceu.

James Anderson, em 1980, foi quem primeiro propôs um conceito de IDS. A partir da publicação de um modelo de detecção de intrusão, por Dorothy Denning, em 1987, foi que começou a haver um maior esforço em pesquisas em torno do assunto.Tivemos três protótipos de IDS criados em 1988. David Bauer e Michael Koblentz, Michael Sebring e Stephen Smaha foram seus criadores. A partir dos anos seguintes apareceu um grande número de protótipos, o que foi evoluindo até os dias de hoje.