Como este tema funciona na sua empresa
IDS (Intrusion Detection System) é ferramenta que monitora tráfego de rede, detecta atividades suspeitas e alerta. IPS (Intrusion Prevention System) é IDS que, além de detectar, bloqueia o tráfego automaticamente. Diferença crucial: IDS é passivo (sem latência, sem risco de bloquear tráfego legítimo); IPS é ativo (adiciona latência, risco de falso positivo). Para gestores, decisão é: detecção é suficiente ou preciso de prevenção?
IDS: detecção passiva
Sensor monitora cópia do tráfego (via SPAN ou TAP). Analisa contra regras (assinatura ou comportamento). Se detecta suspeita, gera alerta. Tráfego continua fluindo; resposta é manual ou automática (via SIEM). Sem latência, sem impacto em rede1.
Sem risco de bloquear tráfego legítimo. Implementação simples. Escalável (múltiplos sensores em rede). Integra com SIEM para correlação e automação.
IPS: prevenção ativa
Tráfego passa por IPS (inline, em linha). IPS analisa em tempo real. Se detecta suspeita, bloqueia fluxo. Impacto: latência adicional (milhissegundos). Risco: falso positivo bloqueia tráfego legítimo. Tuning de regras é crítico2.
Vantagem: resposta automática, sem esperar análise humana. Desvantagem: complexidade operacional (sintonização), latência, risco de impacto em tráfego legítimo. Trade-off: rapidez vs. confiabilidade.
Métodos de detecção
Reconhece padrões de ataques conhecidos (ex: SQL injection começa com "' OR 1=1"). Rápido, taxa baixa de falso positivo. Limitação: não detecta ataques zero-day (nunca vistos antes) ou variações sofisticadas3.
Estabelece baseline de normalidade (usuário tipicamente acessa X, transfere Y bytes). Detecta desvios (usuário acessa muito mais dados que normal). Detecta zero-day. Limitação: taxa alta de falso positivo (requer sintonização).
Taxa de falso positivo e coverage
Trade-off fundamental: muitas regras = detecta mais ataques, mas bloqueia mais tráfego legítimo (falso positivo). Poucas regras = evita falso positivo, mas perde ataques. Organização madura consegue tolerar ~5-10% de falso positivo. Imatura sofre com "alert fatigue" se FP é 20%+.
Integração com SIEM e resposta automatizada
IDS/IPS isolado tem valor limitado. Integração com SIEM (Security Information and Event Management) permite: correlação com outros eventos (IDS alerta + antivírus detectou = confiança aumenta), automação de resposta (SOAR: bloquear IP após N alertas), playbooks de incidente. Sem integração, alertas ficam em fila sem ação.
NIPS (Network IPS) vs. HIDS (Host-based IDS)
NIPS: monitora tráfego entre hosts (visão de rede, não vê tráfego local). HIDS: monitora atividade dentro do host (visão granular, processo específico, arquivo local). Ambos têm valor: NIPS para perímetro, HIDS para endpoints críticos. Ideal: ambos integrados.
Quando implementar IDS/IPS
- Aplicação web exposta na internet (WAF + IPS é padrão)
- Múltiplos segmentos de rede (IDS em pontos de conexão)
- Compliance regulatório exige (PCI-DSS, ISO 27001)
- Histórico de ataques direcionados
- Integração com SIEM para automação
- Equipe SOC (Security Operations Center) disponível para sintonização
- Orçamento para manutenção contínua (atualizar regras)
Implementação progressiva
Curto prazo
IPS em perímetro (integrado em NGFW). Regras padrão. Monitoramento básico. Sintonização conforme alertas.
Médio prazo
Adicionar IDS em segmentação interna. Integrar com SIEM. Detecção comportamental. Automação de resposta via playbooks.
Perguntas frequentes
Qual é a diferença entre IPS e IDS?
IDS detecta e alerta (passivo, sem latência). IPS detecta e bloqueia (ativo, adiciona latência). IDS: "alarme soou". IPS: "porta foi fechada". Ambos têm valor; ideal usar ambos integrados.
Quando usar IDS e quando usar IPS?
IDS: rede interna (detecção é suficiente). IPS: perímetro (prevenção é crítica) e aplicações críticas. Regra: perimetral = IPS, interno = IDS. Complementar com SIEM.
Como escolher um IPS/IDS?
Critérios: cobertura de ataques, taxa de FP (falso positivo), facilidade de operação, integração com SIEM, custo. Validar em ambiente de teste antes de comprar. Suricata e Snort são open-source; Cisco IPS é enterprise.
Como integrar IPS/IDS com firewall?
Firewall moderno (NGFW) possui IPS integrado. Tráfego passa por firewall ? IPS analisa ? bloqueia se necessário. Separa preocupações: firewall faz stateful inspection, IPS faz detecção de ataques.
IPS/IDS vs. WAF: qual escolher?
WAF (Web Application Firewall) é para aplicações web (HTTP). IPS/IDS é para rede toda. Resposta: ambos. WAF na frente de aplicação web, IPS/IDS no perímetro de rede.
Como reduzir falsos positivos em IPS?
Sintonização de regras: desabilitar regras não relevantes, ajustar thresholds, whitelisting de tráfego legítimo. Detecção comportamental (ML) melhora FP. Monitoramento contínuo de alertas para identificar padrão de FP.
Referências
- 1 NIST SP 800-41 (Intrusion Detection and Prevention) — Guia técnico de IDS/IPS
- 2 CIS Controls (Control 6: Audit Log Management) — Framework que inclui detecção de intrusão
- 3 Suricata Documentation — Engine open-source de IDS/IPS
- Snort Documentation — Outro engine popular (Cisco adquiriu)
- OWASP Testing Guide — Testes de segurança incluindo detecção de intrusão