brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Avaliando os sistemas de detecção de intrusões
ID do Artigo: 2284
Introdução
Por que investir em um sistema de detecção de intrusões?
Pontos importantes a serem considerados
Conclusão

As empresas possuem boas razões legais </A> para estabelecer fortes políticas de segurança. Afinal de contas, sua existência depende dessa segurança. Porém, uma empresa que não monitora o abuso dessas políticas está perdendo um componente importante da segurança. Sem uma monitoração, os executivos da empresa nunca saberão se suas políticas de segurança vêm sendo executadas. Por isso, a implementação de um sistema de detecção de intrusões (IDS) é fundamental.

Este artigo aborda as razões para investir em um IDS e as questões principais que as empresas precisam considerar para a avaliação de um sistema.

Por que investir em um sistema de detecção de intrusões?
O aumento e a gravidade dos ataques atuais tornam os sistemas de detecção de intrusões uma parte indispensável da segurança. As empresas que não procuram por tentativas de intrusão não têm a menor idéia das ameaças existentes atualmente. Uma vez instalado, um IDS relatará as ameaças que confirmam que a rede de uma empresa está sendo atacada. Além disso, a compreensão da freqüência e dos tipos de ataques permite à empresa determinar os controles de segurança que precisam ser estabelecidos.

Um IDS simplifica também as tarefas de verificação e categorização das ameaças em relatórios para a diretoria da empresa. Essas importantes informações ajudam a gerenciar o orçamento para maior segurança.

Pontos importantes a serem considerados
Algumas vezes, as empresas investem em um IDS cujo suporte é difícil de oferecer, que relata falsos positivos em demasia (supostos ataques gerados por atividades legítimas) e que não consegue acompanhar a velocidade da rede. Para reduzir a chance disso acontecer, as empresas devem considerar os seguintes critérios para a avaliação de um IDS.

  • Resposta. Um IDS deve não somente notificar, mas também fornecer respostas automatizadas baseadas nas políticas de segurança, para proteger sistemas e ganhar tempo e tranqüilidade para os funcionários de segurança. Quando for necessário localizar a origem de um ataque (na maioria das vezes com um endereço fictício), a abordagem tradicional é a interrogação manual dos roteadores, à procura do fluxo de dados relevante. Essa é uma tarefa extremamente cansativa, que pode levar horas ou até mesmo dias, mesmo para um experiente engenheiro de rede. Uma empresa deve optar por um IDS que possa automaticamente rastrear ataques, mesmo ataques falsos ou refletidos, até seu ponto de ingressão na rede. Isso permite que a empresa reaja de forma rápida e eficiente para bloquear ataques de negação de serviços que podem causar um sério impacto na largura de banda e na disponibilidade dos serviços.

  • Implementação. Um IDS deve ser capaz de gerenciar implementações de grande porte e de grande demanda, incluindo a monitoração de vários segmentos da rede. Ele deve ser capaz também de proteger as infra-estruturas de informação com detecção de multi-gigabites e de alta velocidade.
  • Análise. Um IDS deve conter um mecanismo de análise e de correlação que entenda os numerosos eventos que ocorrem na rede e avalie-os em contexto. Tempo e conhecimento são fundamentais para a criação de uma resposta rápida e eficaz aos ataques às informações críticas da empresa, à medida que elas ocorrem. A coleta, correlação e análise de eventos em tempo real podem reduzir significativamente o esforço normalmente necessário por parte dos funcionários de segurança, proporcionando mais tempo para uma investigação de intrusões e políticas mais sofisticadas, em vez de gastar horas examinando registros de eventos não correlacionados.
  • Gerenciamento. Um IDS deve coletar seus dados principais de detecção diretamente dos alternadores da rede, o que diminui o número de sensores necessários para a implementação e gerenciamento através da rede, reduzindo assim o custo total de propriedade (TOC).
  • Custo da expansão. Várias empresas não percebem que a expansão de um IDS criado especificamente para redes alternadas de alta velocidade custa menos do que a de sistemas tradicionais. Uma implementação tradicional requer um sensor para cada segmento da rede, além do custo do hardware, software e sistemas de administração. Quando uma empresa precisa expandir para obter uma cobertura total da rede, os custos associados à aquisição de sensores, hardware, software e administração do sistema são equivalentes aos custos dos componentes da instalação inicial. Por outro lado, um IDS criado para funcionar em redes alternadas de alta velocidade permite a cobertura total sem os custos adicionais da administração do sistema. Um IDS com recurso móvel pode ser comparado a um conjunto de câmeras de segurança em um supermercado. Porém, diferentemente das câmeras de segurança, um IDS deve ter a inteligência necessária para saber que um incidente ocorreu, continuar a coletar dados e alertar o administrador do sistema. Com esse tipo de IDS, a economia da empresa em suporte, implementação e manutenção pode ser bastante significativa.

Conclusão
Toda empresa que ainda não investiu em um software de detecção de intrusões deve fazê-lo o quanto antes. O adiamento desse investimento coloca a empresa em risco não somente de modificação, destruição e roubo de dados, mas também de ações legais. Um IDS implementado por uma empresa deve fornecer uma abordagem altamente coordenada para gerenciar as questões de segurança, desde a identificação de ameaças na rede e a coleta de informações adicionais sob demanda, até a resposta rápida e a tomada de ações apropriadas.

 
assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home