Intrusion Detection and Prevention Systems (IDPS) operate by monitoring network traffic, analyzing it and providing remediation tactics when malicious behavior is detected. Eles procuram por comportamento ou características correspondentes que indicam tráfego malicioso, enviar alertas e ataques de bloqueio.ter tanto as capacidades de detecção como de prevenção são vitais para uma infra-estrutura de segurança eficaz., A detecção só identifica o comportamento malicioso, mas não toma medidas para bloquear ou prevenir ataques quando alguém é detectado. Apenas registará estes alertas. Os sistemas de prevenção podem ajustar as regras de firewall em tempo real para bloquear ou largar o tráfego malicioso quando ele é detectado, mas eles não têm as capacidades de identificação robustas dos sistemas de detecção.ferramentas de IDPS podem detectar malware, ataques socialmente engendrados e outras ameaças baseadas na web, incluindo ataques de DDoS. Eles também podem fornecer capacidades preventivas de prevenção de intrusão para ameaças internas e sistemas potencialmente comprometidos.,
tenha em mente ao rever a nossa lista de ferramentas de software IDPS de Topo que você pode não precisar para comprá-los como produtos autônomos. Eles também podem ser incluídos com outras ferramentas de segurança, como firewalls de próxima geração (NGFW), e podem usar outros nomes, como prevenção de ameaças.,td>Signature based
McAfee NSP
O McAfee Network Security Platform (NSP) é a próxima geração de detecção de intrusão e prevenção de solução que protege os sistemas e dados onde quer que eles residam, através de centros de dados, a nuvem e o híbrido ambientes empresariais., McAfee tem sido um dos maiores nomes na cibersegurança e tem provado por que com este produto IDPs abrangente.ele pode suportar até 32 milhões de conexões em um único aparelho e usa inteligência para encontrar e bloquear ameaças sofisticadas de malware e ataques avançados direcionados através de uma rede. Ele oferece análises bot inteligentes, monitoramento de aplicação de endpoint melhorado, análise de dados de fluxo, perfis DoS de auto-aprendizagem e uma função de análise para identificar hosts potencialmente maliciosos.,
os usuários elogiam McAfee NSP por sua flexibilidade, arquitetura abrangente e operabilidade simples. Quando se trata de hardware, NSP pode atender toda a gama de necessidades do cliente com seus quatro modelos de sensores.
tendência Micro TippingPoint
tendência Micro TippingPoint identifica e bloqueia o tráfego malicioso, evita o movimento lateral de malware, garante a disponibilidade de rede e resiliência e aumenta o desempenho da rede. Ele pode ser implantado na rede sem endereço IP ou MAC para filtrar imediatamente o tráfego malicioso e indesejado., Os filtros de segurança da Inteligência de ameaças de vacinas digitais cobrem toda a pegada de vulnerabilidade, não apenas explorações específicas. A solução oferece capacidade de inspeção de tráfego de rede até 120 Gbps.TippingPoint usa uma combinação de tecnologias, como a inspeção profunda de pacotes e a reputação de ameaça, para adotar uma abordagem proativa para a segurança da rede. A sua análise aprofundada do tráfego garante uma elevada precisão na detecção de ameaças e proporciona uma consciência contextual para dar às equipas de segurança uma melhor compreensão de como remediar uma ameaça., As soluções TippingPoint são fornecidas como hardware ou plataformas virtuais e fornecem proteção de vulnerabilidade em tempo real através de Inteligência de ameaça de vacina automatizada.
Darktrace Enterprise Immune System
The Darktrace Enterprise Immune System is machine learning and artificial intelligence (AI) technology for cyber defense. Ele vive até seu nome, modelando sua funcionalidade após o sistema imunológico humano. Itteratively learns a unique “pattern of life” for every device and user on a network, and correlates these insights to spot emerging threats that would otherwise go unless noticed.,o sistema imunitário da empresa Darktrace também pode implementar esforços de prevenção automática para dar às equipas de segurança tempo precioso para ripostar. Este sistema pode detectar ameaças em ambientes de nuvem, redes corporativas e sistemas de controle industrial. O visualizador de ameaças premiado da Darktrace fornece visibilidade holística na infra-estrutura de segurança da rede e supervisão completa dos alertas e ações da IA.
Darktrace não se considera uma solução IPS ou IDPS, e Gartner concorda que a empresa não se encaixa nessa categoria., No entanto, a empresa de analistas nomeou-o um fornecedor para assistir nesta área do mercado. Este produto IDPS está disponível como um software e equipamento de hardware.o sistema de prevenção de intrusões da próxima geração da Cisco vem em software e aparelhos físicos e virtuais para pequenas sucursais até grandes empresas, oferecendo um rendimento de 50 Mbps até 60 Mbps. A NGIPS oferece informações de segurança baseadas em URL, integração de grade de ameaças AMP, e é apoiada pela equipe de pesquisa de segurança Talos da empresa.,
O Centro de gestão de poder de fogo fornece dados contextuais sobre ameaças para ajudar as equipas a identificar que tipo de ameaça estão a enfrentar e ajuda a encontrar a causa principal do problema. A Cisco atualiza o poder de fogo com novas assinaturas a cada duas horas, garantindo que o sistema seja capaz de detectar as ameaças mais recentes e avançadas.Gartner classificou o poder de fogo da Cisco NGIPS como um líder do Quadrante Mágico por sete anos consecutivos, e a organização independente de testes do NSS Labs considerou-o uma solução “recomendada” da IPS nos últimos oito anos.,
AT&T Cybersecurity USM
AT&T Cybersecurity Unified Security Management (USM) – formerly AlienVault – delivers threat detection, incident response, and compliance management in one unified platform. Ele integra cinco componentes essenciais de uma solução de segurança abrangente: descoberta de ativos, avaliação de vulnerabilidade, detecção de intrusão, monitoramento comportamental e gerenciamento de log do SIEM.,
continuamente atualizado a inteligência de ameaça tanto do AlienVault Labs quanto do AlienVault Open Threat Exchange mantém o sistema atualizado sobre atores maliciosos, ameaças, ferramentas e métodos. Ele também fornece contexto sobre os mais recentes alarmes e vulnerabilidades para poupar as equipes o tempo de fazer a própria pesquisa. Seu sistema de alarme categoriza ameaças com base no nível de risco para ajudar as equipes de segurança a priorizar as respostas.,
sua robusta capacidade de pesquisa e filtragem permite que as equipes isolem alarmes ou eventos de interesse para que possam investigar detalhes de informações sobre ameaças, eventos relacionados, bem como recomendações para respostas a incidentes. Há também uma longa lista de opções de resposta a incidentes que podem ser lançadas diretamente do console.
AlienVault USM pode ser implantado em locais e ambientes de nuvem.
redes Palo Alto
redes Palo Alto são provavelmente mais famosas por suas poderosas firewalls de próxima geração., O produto de prevenção de ameaças das redes Palo Alto foi desenvolvido para acelerar as capacidades das suas NGFW através de digitalização inteligente e prevenção. O seu objectivo é evitar ciberataques bem sucedidos através da automatização.
a prevenção de ameaças pode inspecionar todo o tráfego com o contexto completo do Usuário, prevenindo automaticamente ameaças conhecidas, independentemente da criptografia de Porto, protocolo ou SSL. Sua inteligência de ameaça é automaticamente atualizada todos os dias, entregue à NGFW e implementada pela prevenção de ameaças para parar todas as ameaças.,as redes Palo Alto também fizeram um esforço para garantir um desempenho impressionante consistente. A sua arquitectura de passagem única e a sua gestão política proporcionam detecção e prevenção de ameaças completas, sem sacrificar o desempenho.
NSFocus NGIPS
o NSFocus Next-Generation Intrusion Prevention System (NGIPS) proporciona protecção contra ameaças que bloqueia as intrusões, previne violações e salvaguarda dos activos., Ele usa uma abordagem multi-camada para identificar e lidar com ameaças persistentes conhecidas, de zero dias e avançadas para proteger de malware, worms, spyware, trojans backdoor, vazamento de dados, quebra de Força bruta, ataques de Protocolo, digitalização/sonda e ameaças à web.
suporta a capacidade de processamento de até 20 Gbps de dados de camada de Aplicação. A ferramenta de sandboxing Virtual NSFocus pode identificar, avaliar e mitigar ameaças persistentes conhecidas e avançadas.
NSFOCUS NGIPS está disponível como máquinas físicas e virtuais.,
Blumira Automatizado de Detecção & Resposta
Blumira Automatizado de Detecção & Resposta plataforma permite que as organizações mais eficientemente defender-se contra ameaças de segurança cibernética, em tempo quase real. Ele é projetado para cortar através do ruído de falsos alertas positivos e apenas focar a atenção no verdadeiro comportamento malicioso para aliviar o fardo da fadiga de alerta.além de identificar ameaças, a resposta automatizada de Blumira funciona em tempo quase real para parar ameaças internas e externas., O sistema também inclui playbooks passo a passo para orientar os esforços de remediação. O painel de controle de gestão fornece mais insights sobre ameaças ao longo do tempo, Análise aberta e ameaças suspeitas.
Blumira é uma plataforma totalmente equipada com nuvens para que possa ser utilizada de forma fácil e rápida. E com uma sólida orquestração de segurança e automação incorporada neste SPDI, ele pode ser gerenciado por equipes de praticamente qualquer tamanho.,
Principal de Detecção de Intrusão e Prevenção de Funções do Sistema
As funções principais dos DESLOCADOS internos, as soluções podem ser divididas em quatro categorias principais:
- Monitoramento: IDP monitores de sistemas utilizando baseados em assinaturas ou anomalia de detecção de invasões baseados em identificar um comportamento anormal e assinatura de atividade maliciosa.
- alertas: depois de identificar potenciais ameaças, o software IDPS irá registar e enviar notificações de alerta para informar os administradores de atividade anormal.,
- Remediation: IDPS tools provide blocking mechanisms for malicious threats, giving administrators time to take action. Em alguns casos, as equipes de TI podem não ser obrigadas a tomar qualquer ação depois que um ataque é bloqueado.
- manutenção: além de monitorar comportamentos anormais, ferramentas IDPS também podem monitorar o desempenho de hardware e componentes de segurança de TI com verificações de saúde. Isso garante que uma infra-estrutura de segurança está funcionando corretamente em todos os momentos.
Sistemas de detecção de intrusão (IDS) vs., Sistemas de prevenção de intrusão (IPS)
como mencionado anteriormente, uma ferramenta de IDPS verdadeiramente holística requer capacidades de detecção e prevenção. Ao procurar soluções, é provável que se depare com sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS). Estes são produtos autônomos e não devem ser confundidos com IDPS, o que irá ajudá-lo a evitar grandes buracos em sua infra-estrutura de segurança.
As ferramentas de IDS são projetadas apenas para detectar atividades maliciosas e registrar e enviar alertas. Não são capazes de impedir um ataque., Os alertas que eles levantam sempre requerem intervenção humana.por outro lado, os IPS respondem com base em critérios pré-determinados de tipos de ataques, bloqueando o tráfego e deixando cair processos maliciosos. Infelizmente, as ferramentas IPS levam a mais falsos positivos, uma vez que têm capacidades de detecção inferiores às IDS.as soluções IDPS incorporam os pontos fortes de ambos os sistemas em um produto ou conjunto de produtos.
tipos de IDPS
os tipos de IDPS podem ser classificados de acordo com o que eles são projetados para proteger., Eles geralmente se enquadram em dois tipos: baseado em host e baseado em rede.
IDPs baseados em Host
IDPs baseados em Host é um software implantado no host que apenas monitora o tráfego para se conectar a e a partir desse host. Normalmente só protege um único parâmetro específico. Em alguns casos, ele também pode monitorar arquivos de Sistema armazenados no host para alterações não autorizadas e processos em execução no sistema.,
IDPs baseados em rede
IDPS baseados em rede, também por vezes chamados de sistemas de detecção de intrusão de rede (NIDS), são implantados em um lugar onde ele pode monitorar o tráfego para todo um segmento de rede ou sub-rede. A sua funcionalidade assemelha-se um pouco a firewalls, que só são capazes de evitar intrusões vindas de fora da rede e impor listas de controle de acesso (ACLs) entre redes.
NIDS são projetados para detectar e alertar sobre o potencial tráfego interno malicioso que se move lateralmente através de uma rede; isso faz dela uma grande ferramenta para um framework de segurança de confiança zero., O tráfego é analisado para sinais de comportamento malicioso com base nos perfis de tipos comuns de ataques.metodologias de detecção de intrusões estes sistemas identificam potenciais ameaças com base em regras e perfis incorporados. As mais comuns são as metodologias de detecção baseadas em assinaturas e em anomalias.detecção de intrusão baseada na Assinatura
Detecção De intrusão baseada na assinatura para casos de ataques conhecidos. Quando o conteúdo malicioso é identificado, ele é analisado para características únicas para criar uma impressão digital, ou assinatura, para esse ataque específico., Esta assinatura pode ser na forma de uma identidade conhecida ou padrão de comportamento. Sistemas baseados em assinaturas, em seguida, comparar esta impressão digital com um banco de dados de assinaturas pré-existentes para identificar o tipo específico de ataque. A desvantagem destes sistemas é que eles devem ser atualizados regularmente para serem capazes de reconhecer novos e em evolução tipos de ataques.
detecção de intrusão com base em anomalias
detecção de intrusão com base em anomalias constrói um modelo inicial de comportamento “normal” para um sistema específico, em vez de criar impressões digitais., O sistema irá então comparar todo o comportamento em tempo real com o modelo normal criado anteriormente para identificar anomalias comportamentais. Estes casos de comportamento anormal são usados para identificar potenciais ataques e alertas de gatilho.
contrastando IDPS baseados em assinaturas vs. anomalias
Existem problemas com ambos os sistemas individualmente. A detecção baseada em assinaturas tem baixos falsos positivos, mas só pode detectar ataques conhecidos. Isto torna-os vulneráveis a novos métodos de ataque em evolução.
Detecção baseada em anomalias pode levar a altos falsos positivos como alerta sobre todo o comportamento anômalo., Mas tem potencial para apanhar ameaças de dia zero. Felizmente, muitos produtos IDPS combinam ambas as metodologias para complementar os seus pontos fortes e fracos.
desafios ao gerenciar IDPS
você pode experimentar alguns desafios quando se trata de ferramentas de software IDPS. Aqui estão alguns para manter o topo da mente:
- falsos positivos: você quase certamente irá encontrar o problema dos alertas falsos positivos, que podem perder tempo e recursos. Estejam atentos quando forem notificados de comportamentos potencialmente maliciosos, mas também estejam cientes de que não é uma garantia de um ataque., pessoal: a cibersegurança é tão essencial para as organizações modernas que há atualmente uma escassez de profissionais de segurança disponíveis. Antes de implementar um sistema IDPS, certifique-se de que você reuniu uma equipe que tem as capacidades para geri-lo efetivamente.
- riscos genuínos: para além da Gestão de um PDI, haverá casos em que a intervenção do administrador é necessária. Um IDPS pode bloquear muitos ataques, mas não todos. Certifique-se de que as equipas mantêm o seu conhecimento actualizado sobre novos tipos de ataques para que não sejam surpreendidos quando um é identificado.