Tecnologias de Sistemas de Deteco e Preveno de Intruso (IDP) aplicados em

ambientes de rede de dados hbridas: avaliao das necessidades e seleo das

ferramentas

Elvis Pontes

OBJETIVO
Este artigo tem como objetivo prover procedimentos e uma breve metodologia
estruturada, mas flexvel, para a seleo, especificao, avaliao, implementao E
configurao de tecnologias de sistemas de deteco de intruso (IDS), sistemas de
preveno de intruso (IPS) e sistemas de deteco e preveno (IDP) para proteo de
sistemas de informao e redes de dados. Procura-se, neste artigo, caracterizar
sumariamente as quatro principais classes de produtos IDP: produtos baseados em rede,
baseados em rede sem fio, softwares de deteco de comportamento anmalo de rede, e
baseados em host. Procura-se tambm caracterizar o ambiente mais propcio para
aplicao de cada classe de produto IDP. Para consecuo deste artigo, desenvolveu-se
uma pesquisa identificando os tipos de tecnologias disponveis, o escopo de aplicao e
as potencialidades das mesmas, de forma a se estabelecer dentro da anlise as
tecnologias mais aplicveis ao ambiente estudado, para satisfazer a necessidade de
controle especfico na mitigao eficiente e eficaz do risco determinado, em
alinhamento com a poltica de segurana estabelecida.

RESUMO
Para que se efetue adequadamente a avaliao de produtos IDP, h a necessidade, em
primeira mo, de serem definidos os permetros do ambiente e os requerimentos
genricos que estes produtos devem compreender. As caractersticas e metodologias de
produtos IDP so consideravelmente diversas. Portanto, uma boa soluo de IDP
implementada em uma organizao talvez no seja ideal e nem satisfaa os
requerimentos de uma outra. A principio, recomenda-se que as caractersticas dos
sistemas da organizao e, principalmente, do ambiente da rede de dados precisam ser
devidamente analisadas, assim um produto IDP pode ser selecionado de forma mais
alinhada com os requisitos e consequentemente monitorar os eventos de interesse dos
sistemas e/ou da rede. recomendvel tambm que a mesma metodologia seja adotada
no desenvolvimento de solues IDP. Aps a anlise dos sistemas e ambiente de rede de
dados, h de se definir os objetivos e metas que se desejam alcanar na aplicao da
soluo IDP. As polticas de segurana existentes no ambiente organizacional devem ser
revistas e analisadas antes da etapa de seleo dos produtos, pois estas servem como
especificao para muitas caractersticas que devam ser cobertas pelo produto IDP. H
ainda de se acrescentar a possibilidade de processos de auditoria, que podem ou no ser
institudos.

INTRODUO
Deteco de intruso o processo de monitoramento e anlise de eventos que ocorrem
em um sistema de computadores ou em uma rede de dados, em busca de sinais de
incidentes em potencial, os quais podem ser violaes ou ameaas iminentes de
violao das polticas de segurana.
Preveno de intruso o processo da realizao da deteco de intruso no
esforo de deter incidentes em potencial detectados.
Sistemas de deteco e preveno (IDPs) esto focados na identificao de
incidentes em potencial, controle de logs dos mesmos, no combate aos incidentes e em
report-los aos administradores de segurana. Adicionalmente, as organizaes usam
IDPs para outros propsitos, como na identificao de problemas com polticas de
segurana, na documentao de ameaas existentes, e na dissuaso de funcionrios,
terceirizados, prestadores de servio ou quaisquer indivduos que violem a poltica de
segurana. IDPs tornaram-se uma necessidade adicional a infra-estrutura de segurana
da maioria das grandes corporaes.
IDPs gravam informaes relacionadas a eventos observados, notificando e
reportando administradores de eventos importantes. Muitos IDPs podem tambm
responder a uma ameaa detectada no esforo de prevenir a mesma de explorar a
vulnerabilidade do sistema. Utilizam-se vrias tcnicas de resposta, que permitem ao
IDP combater o ataque por si s, alterando o ambiente de segurana (reconfigurando o
Firewall p. ex.), ou alterando o contedo do ataque.
Existem muitos tipos de tecnologias IDP, as quais so diferenciadas
principalmente pelos tipos de eventos que as mesmas podem monitorar e as formas que
so empregadas. Sero apresentados e discutidos quatro tipos de tecnologias IDP:
Baseado em rede monitora o trafego de rede para dispositivos ou
seguimentos de rede em particular e analisa a rede e a atividade de
protocolos de aplicao para identificar atividade maliciosa;
Baseado em redes sem fio monitora o trfego de rede sem fio e o
analisa para identificar atividade maliciosa e suspeita que envolva o
prprio protocolo de rede sem fio.
Deteco de comportamento anmalo de rede examina o trafego de
rede para identificar ameaas que gerem um trafego de rede anormal,
como ataques DDoS, escaneamento de portas e alguns tipos de malware.
Baseado em Host monitora as caractersticas de um nico host e os
eventos que ocorrem no mesmo de forma suspeita.
A proteo dos componentes IDP essencial para integridade dos mesmos, j
que estes so alvos de ataques que visam danific-los de forma a barrar deteces, ou
ataques que visam obter acesso a informaes privilegiadas, como configuraes de
hosts. Os IDPs so compostos de diversos componentes, incluindo sensores e agentes,
servidores de gerenciamento, servidores de dados e, usurios e consoles para
administrao. Todos os componentes de operao e aplicaes devem ser bem
guardados e mantidos atualizados.
Aes especficas de proteo incluem contas separadas para cada usurio IDP e
para o administrador, restrio e segregao de rede para melhor controle de acesso aos
componentes IDP e garantir que as comunicaes com o gerenciador IDP esto
protegidas adequadamente (criptografia de dados ou transmisso dos dados em rede
segregada).
 Os administradores devem manter a segurana dos componentes IDP de forma
contnua, j que novas ameaas surgem todos os dias. A verificao de funcionalidade
de todos os componentes um ponto importante: monitoramento dos componentes
quanto detalhes de segurana, realizao de testes de vulnerabilidade peridicos,
verificao das respostas explorao de vulnerabilidades, atualizao e testes de
atualizao.
Outro ponto importante a realizao de back ups regulares das diversas
configuraes de todos os recursos IDP, conforme o preconizado nas polticas de
segurana.
A utilizao de tecnologias diversas de IDP deve ser considerada para alcanar
uma maior acuidade na deteco e preveno de atividades maliciosas.
Os tipos primrios de tecnologias IDP oferecem recursos diferentes para
ordenao de informao, registro de logs, deteco e preveno. Cada tipo de
tecnologia tem vantagens sobre a outra, como deteco de alguns eventos que outras
no realizam e deteco de alguns eventos com maior exatido que a outra. Em muitos
ambientes, uma soluo robusta de IDP no pode ser alcanada sem a utilizao de
vrios tipos de tecnologias IDP. Para a maioria dos ambientes, uma combinao de
tecnologias como a baseada em rede e a baseada em host necessria para a soluo
eficiente e efetiva do IDP.
Tecnologias IDP sem fio tambm pode ser necessrias se a organizao quiser
garantir que as mesmas precisam de proteo e monitoramento adicional. Tecnologias
de deteco de comportamento anmalo de rede (NBAD Network Behavior Anomaly
Detection) podem tambm ser implementadas se a organizao desejar recursos de
proteo adicional para ataques de negao de servios, worms, e outras ameaas que os
NBAD esto preparados para detectar.
Organizaes que planejam usar mltiplos tipos de tecnologias IDP ou mltiplos
produtos da mesma tecnologia IDP, deveriam considerar os pontos de integrao destas
tecnologias (ou a inexistncia destes pontos).
A integrao IDP freqentemente realizada quando uma organizao utiliza
vrios produtos IDP de um nico vendor, por ter um nico console que pode ser usado
no gerenciamento e monitoramento de mltiplos produtos.
Alguns produtos podem tambm compartilhar dados, o que aumenta a
velocidade de anlise e ajuda aos usurios a melhor priorizar as ameaas. Uma forma
mais limitada da integrao direta o uso de produtos IDP que fornece dados para outro.
Integrao indireta de IDPs so realizadas por softwares de segurana de
informao e gerenciamento de eventos (SIEM Security Information and Event
Management), que so desenvolvidos para importar informaes de vrios logs de
segurana relacionados, bem como efetuar a correlao de eventos entre os mesmos.
Softwares SIEM complementam os IDPs de formas diversas, incluindo a correlao de
eventos por diferentes tecnologias, visualizao de dados de vrias fontes de eventos e
provendo informao de suporte para outras fontes, ajudando os usurios a determinar a
exatido dos alertas IDP.
Antes de avaliar os produtos IDP, as organizaes deveriam definir os requisitos
dos produtos devem satisfazer. Os tcnicos que efetuam a avaliao precisam entender
as caractersticas do sistema organizacional e ambientes de rede, ento um IDP pode ser
selecionado de forma a ser compatvel com estes requisitos, tornando-se, assim, pronto
para efetuar monitoramento dos eventos de interesse nos sistemas e/ou redes.
Os objetivos e metas devem ser articulados, de forma a serem alcanados pelo
uso de um IDP, como a deteco e preveno de ataques comuns, identificao de erros
de configurao de dispositivos de rede sem fio, e deteco de uso incorreto dos
sistemas e recursos de rede das organizaes. Devem tambm ser revistas as polticas de
segurana existentes, as quais servem como especificao bsica para muitos dos
recursos que os produtos IDP devem prover. Adicionalmente, deve-se analisar os pontos
de auditoria externas, bem como a necessidade de produtos especficos para satisfazer
essa necessidade, ou no.
Deve-se levar em considerao as restries de recursos. Deve-se, ainda,
considerar a necessidade de definio dos seguintes grupos de requisitos:
Condies de segurana incluindo coleta de dados, registro de log,
deteco e preveno;
Performance incluindo capacidade mxima e dispositivos para
mensurao de performance;
Gerenciamento incluindo projeto e implementao, operao e
manuteno (software updates), treinamento, documentao e suporte
tcnico;
Ciclo e vida e custos.
Durante a fase de avaliao de produtos IDP, as organizaes devem considerar
o uso da combinao de vrias fontes de dados, nas caractersticas de recursos dos
produtos.
Fontes de dados comuns desse produtos incluem testes de laboratrio ou testes
de aplicaes reais, informao fornecida pelo vender, revises de terceiros e/ou
experincia por outros profissionais dentro da organizao ou recomendaes de outras
organizaes. Quando do uso de dados por outras partes, organizaes devem
considerar se as mesmas so fidedignas,
Infelizmente IDPs no fornecem resultados de deteco completamente exatos.
A gerao de falsos positivos (evento normal tomado como ato de intruso) e falsos
negativos (eventos maliciosos vistos como trfego normal) um processo comum no
uso de IDPs. Costuma-se configurar (tune) os IDPs de forma que a diminuir os falso
negativos e aumentar os falsos positivos para que menos atos maliciosos tenham
sucesso. No entanto, este comportamento sugere um overhead de processamento.
Muitos IDPs tambm oferecem dispositivos para compensar tcnicas de evaso
em ataques, que modificam o formato ou tempo da atividade maliciosa, alterando sua
aparncia.
A maioria dos IDPs usam mltiplas metodologias de deteco, tanto
separadamente quanto integradas, para prover mais extensa e exata deteco. As
principais classes de metodologias de deteco so:
Baseado em assinatura: que compara assinaturas conhecidas com eventos
observados. Novos tipos de ataques que no possuem uma assinatura no
podem ser detectados;
 Deteco baseada em comportamento anmalo: compara definies e
perfis de qual atividade de rede considerada normal contra eventos
observados para determinar desvios de padro. Muito bom para novos
tipos de ataques. Problemas comuns a incluso de atividade normal
como atividade maliciosa;
Analise de protocolo Statefull: compara perfis pr determinados de
definies geralmente aceitas de atividade de protocolos com desvios nos
eventos analisados. Ao contrrio da metodologia anterior, esta baseia-se
em perfis universais determinados e desenvolvidos por vendors que
especificam como protocolos em particular devem ou no devem ser
usados. Exige muito processamento e o desenvolvimento de modelos
muito difcil (quase impossvel).

COMPONENTES
Os componentes tpicos em uma soluo IDP so:
Sensores ou Agentes: monitoram e analisam a atividade de rede. Agentes
so usados em solues IDP host.
Servidor de gerenciamento: dispositivo centralizado que recebe
informaes dos sensores ou agentes e as gerencia. Nesse servidor ainda
so correlacionados todos os eventos de todos os sensores.
Servidor de base de dados: o repositrio para informaes de eventos
gravados pelos sensores, agentes e/ou servidores de gerenciamento;
Console: um programa que fornece uma interface para os usurios IDP
e administradores.

Adicionalmente a estes componentes, tem-se:

Rede de gerenciamento: este um componente que pode ou no ser
aplicado, conforme o projeto. uma rede segregada apenas para os
softwares de segurana, cujos dispositivos conectados so a ela por uma
interface de gerenciamento.
A conexo dos dispositivos de segurana pode ser feito na prpria rede de
computadores, sem a necessidade de uma rede de gerenciamento. Neste caso, sugere-se
a utilizao de uma VLAN para prover proteo aos dispositivos e comunicaes IDP.
No entanto, numa VLAN, a proteo contra DDoS ou outros malware ser praticamente
nula.
Quando a no utilizao da rede de gerenciamento, sugere-se tambm o uso de
recursos criptogrficos no trfego de dados IDP.

ARQUITETURAS
IDP BASEADO EM REDE
Como referido anteriormente ele monitora o trafego de rede para dispositivos ou
seguimentos de rede em particular e analisa a rede e a atividade de protocolos de
aplicao para identificar atividade maliciosa.
Com exceo dos sensores, pode-se dizer que os IDPs baseados em rede so
idnticos s outras tecnologias. Os sensores esto disponveis em dois formatos:
sensores APPLIANCE (software e hardware especiais) e sensores em SOFTWARE.
Como referido anteriormente, recomenda-se a utilizao de redes de
gerenciamento para a implantao da estrutura de IDPs baseados em rede. Os pontos de
instalao dos sensores dentro da rede de dados da corporao um ponto de importante
observao. Os sensores pode ser instalados em dois modos:
INLINE quando o trfego de rede flui pelo sensor;
PASSIVO quando os sensores monitoram cpias do trfego de rede.
Geralmente recomenda-se o uso de sensores INLINE, pois assim os mtodos de
preveno podem ser utilizados em prontido, enquanto no caso dos sensores passivos
os mtodos de preveno no so usados.
Os sensores podem coletar informaes como o Sistema Operacional utilizados
nos hosts, a verso deste sistema operacional, quais aplicaes e verses so usadas para
que os hosts se comuniquem com a rede, etc.
As tecnologias IDP baseadas em rede tambm podem controlar um registro de
logs extensivo, relacionado aos dados de eventos detectados; a maioria tambm realiza
captura de pacotes. Portanto, a maioria dos produtos desta tecnologia oferece vastos
recursos de captura e deteco.
Observe-se que a combinao de metodologias como deteco baseada em
assinaturas, deteco baseada em comportamento anmalo e anlise de protocolo
stateful, utilizada para realizar anlises detalhadas de protocolos comuns. importante
considerar esta combinao para elevar a exatido da deteco e consequentemente da
ao preventiva empregada.
Apesar das diversas vantagens e caractersticas positivas apresentadas acima,
uma grande desvantagem a impossibilidade de detectar ataques quando o trfego
feito de forma criptografada. Nesta situao sugere-se empregar uma soluo baseada
em host para efetuar a anlise antes da realizao da criptografia ou aps os dados
serem decifrados. Em outras palavras, deve-se empregar o IDP baseado em host nos
pontos finais da comunicao.
Outro ponto negativo a incapacidade dos IDPs baseados em rede no serem
aptos a realizar uma anlise completa quando h uma carga excessivamente grande de
trfego na rede. Recomenda-se determinar a prioridade de anlise do trfego ou
simplesmente desabilitar a analise de determinados pontos quando nessa situao.
Porm, os IDPs baseados em rede, por definio, acabam por ser sujeitos a ataques
DDoS (grande volume de trfego).
As caractersticas de preveno fornecidas pelos sensores dos IDPs baseados em
rede so, por exemplo, finalizar sesses TCP (reset), realizao de inline Firewall,
alterao de uso de largura de banda, alterao de contedo malicioso. Ambos, INLINE
e sensores PASSIVOS, podem reconfigurar outros dispositivos de segurana, ou
executar programas ou scripts de terceiros para outras aes de preveno.
 Abaixo a arquitetura recomendada para implantao tanto de sensores
PASSIVOS, como sensores INLINE.

SENSOR INLINE SENSOR PASSIVO

Observe-se que os sensores INLINE atuam aps o FIREWALL. Por outro lado,
sensores passivos so instalados de forma a monitorar pontos chaves de redes,
exatamente em sua diviso ou segregao. Alguns mtodos de monitoramento usados
pelos sensores passivos so: Spanning port, Network tap, IDS Load Balancer

IDP BASEADO EM REDE SEM FIO

Um IDP wireless monitora o trfego de uma rede sem fio e analisa os protocolos
de rede sem fio para identificar atividades suspeitas. Os componentes da tecnologia IDP
wireless so os mesmos que a baseada em rede: sensores, consoles, servidores de dados,
servidores de gerenciamento. Entretanto, um sensor de IDP wireless, monitora apenas
um canal por vez, portanto, somente com amostras de trfego ao contrrio dos
sensores de IDPs baseados em rede.
Quanto maior o tempo de um canal monitorado, maior vai ser a probabilidade
que o sensor perca atividade maliciosa nos outros canais. Para que isso no ocorra, os
sensores trocam de canal diversas vezes por segundo.
Sensores IDP wireless esto disponveis de formas diversas. Um sensor dedicado
pode ser fixo ou dispositivo mvel que realiza funes IDP, mas no passa trfego de
rede da fonte ao destino. Um outro tipo de sensor wireles disponvel o que opera em
conjunto com pontos de acesso de rede sem fio (APs) ou switches sem fio Pelo fato de
sensores dedicados focarem-se em deteco e no se importarem com trfego wireless,
eles oferecem recursos de deteco mais robustos. Entretanto, estes sensores so mais
deficeis de se adquirir, instalar e manter do que os sensores acoplados em APs, pelo fato
de exigirem outro hardware e software adicional.
Componentes de IDP wireless sempre estaro interconectados via uma rede com
cabeamento. Os controles nos pontos de separao da rede sem fio e rede com
cabeamento devem ser considerados, como rede de gerenciamento e etc.
A escolha da localizao dos sensores para IDPs wireless completamente
diferente que em quaisquer outras tecnologias IDP. Os sensores de IDP sem fio devem
ser instalados de forma que possam monitorar a abrangncia do sinal sem fio. Muitas
vezes os sensores devem ser instalados onde no deveria haver atividade de rede sem fio
dentro da organizao, analogamente tm-se os canais e bandas. Outras consideraes:
segurana fsica do sensor, abrangncia, disponibilidade de conexo a rede cabeada,
custo e localizaes de APs/switches, conforme a figura abaixo.

IDP Wireless

Os IDPs wireless podem detectar ataques, erros de configuraes e violaes da

poltica de segurana em nvel de protocolo WLAN.
 Os IDPs wireless, assim como as outras tecnologias IDP, necessitam de
configuraes a ajustes de sintonia para uma melhor performance. Porem, as
tecnologias wireless normalmente oferecem uma maior exatido na ao de deteco,
muito devido ao seu escopo mais reduzido. Algumas das configuraes so a definio
dos APs, WLANS e STAs (estaes, como laptops, PDAs. Etc) esto com acesso
permitido e as caractersticas de poltica para cada dispositivo.
Outro ponto importante so as reestruturaes fsicas do ambiente
organizacional que devem ser levadas em conta.
Pontos negativos de IDPs wireless so a incapacidade de deteco de ataques
passivos, como o monitoramento e processamento offline do trafego wireless. Eles
tambm so sucetves a tcnicas de evaso, especialmente quelas que se baseiam no
conhecimento do esquema de hops de canais do produto. Novamente, importante
considerar que os produtos IDP wireless s vem parte do trfego de um canal
periodicamente. Eles tambm so suscetveis a ataques de DOS.
As tcnicas de preveno abordadas so a instruo para trmino de sesso do
endpoint, e a preveno de uma nova sesso ser estabelecida. Alguns sensores podem
instruir que APs ou switches bloqueiem a atividade de um STA em particular. No
entanto, este mtodo pode bloquear a comunicao com a rede cabeada e no bloquer as
atividades maliciosas do STA. Normalmente os sensores possuem dois rdios: um para
monitoramento e outro para realizar aes de preveno.

IDP BASEADO COMPORTAMENTO ANMALO DE REDE - NBAD

Como referido anteriormente, estes examinam e fazem anlise estatstica do
trafego de rede para identificar ameaas que gerem um trafego de rede anormal, como
ataques DDoS, escaneamento de portas e alguns tipos de malware e etc.
A maioria dos IDPs NBAD no possuem servidores de gerenciamento ou
servidores de banco de dados, apenas sensores e consoles. Os sensores NBAD podem
ater-se ao escaneamento direto do trfego da rede (sniffing) ou somente nas informaes
de fluxo fornecidas por roteadores e outros dispositivos.
Os sensores podem ser instalados em modo passivo somente na maioria dos
IDPs NBAD anlogo aos mtodos pelo IDP baseado em rede (porta de spanning,
network tap). Devem ser instalados em pontos chaves da rede. divises ou
segregaes da rede, segmentos chaves de rede, como DMZ. Sensores INLINE so
recomendados para uso no permetro da rede, assim estes seriam instalados com maior
proximidade dos firewalls de pemetro, sempre em frente destes, para abranger ataques
que podem afetar os firewalls. A figura abaixo representa mais claramente o explicitado:
 IDP NBAD

Os IDPs NBAD podem oferecer recursos extensos de obteno de informao,

coleo de informao detalhada em cada host observado e constante monitoramento da
atividade de rede. Eles realizam uma compreensiva analise de log de dados relacionada
aos eventos detectados. Conseguem detectar ataques dom DoS, escaneamento, worms,
servios de aplicaes inesperados e violaes de poltica. Pelo fato dos sensores
trabalharem primariamente detectando desvios significativos do comportamento normal,
eles so mais precisos detectando ataques que geram grande quantidade de atividade de
rede em um curto perodo de tempo, alm de ataques que tem um fluxo incomum de
dados. A maioria dos produtos podem tambm reconstruir uma srie de eventos
observados para determinar a origem da ameaa.
A atualizao destes produtos deve ser automtica. Como resultado,
configuraes e determinaes de sintonia (tuning) no so extensas. Pouqussimos
produtos NBAD oferecem customizaes para assinaturas, o que muito til para
sensores INLINE porque eles podem usar as assinaturas para encontrar e bloquer um
ataque que um firewall ou roteador no tenha sido capaz de bloquear. .
recomendvel que os administradores mantenham os IDPs cientes da
estrutura de hosts e outros dispositivos de rede (inventrio), assim as configuraes e
sintonia tendem a ser mais exatas com o padro normal de trfego de rede, gerando
menos falsos positivos.
As limitaes desta tecnologia so: demora de deteco, pois depende de
informaes advindas de dispositivos de rede como firewalls, roteadores o que as
vezes demorado. Ataques que acontecem de forma rpida so dificilmente detectados.
Uma soluo para isso a utilizao pelos sensores de seu prprio recurso de captura e
analise de pacotes, mas precisa de muitos recursos para realizao disto.

IDP BASEADO EM HOSTS

Monitora as caractersticas de um nico host e os eventos que ocorrem no
mesmo de forma suspeita. Podem monitorar conexes de rede por cabeamento ou sem
fio, logs de sistema, processos em execuo, acessos de arquivos e modificaes e
alteraes de configuraes de sistema e aplicativos. Os AGENTES ficam instalados
nos hosts de interesse, cada agente monitora a atividade em um nico host, na hiptese
de ter recursos, tambm realiza aes de preveno. Os agentes transmitem dados aos
servidores de gerenciamento. Cada agente desenvolvido para proteger um servidor,
um desktop ou laptop ou um servio de aplicao.
A arquitetura muito simples. Os agentes so instalados em hosts existentes nas
redes das organizaes e se comunicam pela rede de dados, ao invs de usar uma rede
de gerenciamento. Sugere-se que o IDP Host seja instalado em servidores crticos, mas
a aplicao destes em desktops, laptops e outros servidores. importante considerar o
fato de que algumas informaes em hosts no podem ser monitoradas. Afigura abaixo
representa o descrito:

IDP hosts
 Durante a instalao de alguns agentes, comoum a alterao da arquitetura
interna dos hosts. Algumas camadas, chamadas shims ou calos, de cdigo so
implementadas. Apesar de ser menos intrusivo, a no utilizao destes shims menos
precisa e as aes de preveno menos eficientes.
Dentre os recursos esto o extensivo controle de log de dados relacionados a
eventos detectados e podem ser detectados diversos tipos de atividade maliciosa.
Tcnicas de deteco, incluindo analise de cdigo, analise de trfego de rede, filtro de
trfego de rede, monitoramento de sistema de arquivos, analise de log e monitoramento
de configurao de rede. A combinao de diversas tcnicas de deteco tendem a ser
mais precisas, pois podem monitorar diferentes caractersticas dos hosts. Devem ser
determinadas quais caractersticas devem ser monitoradas para seleo dos produtos
IDP.
As solues de IDP host geralmente necessitam de bastante configuraes e
sintonia, devido as diferenas intrnsecas de atividade de cada host (programao, entre
outros.
Limitaes:
Tcnicas de deteco peridicas (poucas vezes ao dia) incidentes
podem ocorrer nesse meio tempo;
Envio de dados de alerta aos servidores de gerenciamento em batch
somente em algumas horas por dia demora pra aes de resposta;
Consumo de recursos no host pelos agentes;
Conflitos com outros sistemas como firewalls pessoais, clientes VPN, etc.

Recursos de preveno:
Tcnicas de anlise de cdigo para prevenir que cdigos maliciosos
sejam executados efetivo para ataques desconhecidos;
Analise de trafego de rede, pode impedir que trafego de entrada ou sada
que contenha ataques de camada de rede, transporte ou aplicao,
ataques de protocolo wireless e outras aplicaes no autorizadas e
protocolos.
Filtro de trafego de rede, funciona como um firewall baseado em host e
pra acessos no autorizados e aceita o uso de polticas, negando
violaes as mesmas.
Monitoramento de sistema de arquivos que preveni que os arquivos
sejam acessados, modificados, substitudos ou apagados,
consequentemente a instalao de um malware.
Restries em medias removveis;
Deteco de ativao ou uso de dispositivos audiovisuais;
Monitoramento do status de processos em execuo e falhas de
reinicializao de outros processos.
 CONCLUSO
As tecnologias e metodologias aplicadas aos IDP variam consideravelmente,
assim como variam as necessidades de uma organizao para outra. Recomenda-
se,tambm estudar e avaliar as diversas solues IDP disponveis no mercado para
adquirir as que mais se adequam s necessidades. Mltiplas plataformas IDP de
fornecedores distintos sugerem grande necessidade de interao. O uso de ferramentas
como SIEM Security Information and Event Management Software pode auxiliar
muito nessa interao.
Adicionalmente alguns requisitos gerais precisam ser definidos para grupos mais
especializados de necessidades:
Recursos de segurana, incluindo obteno de informaes, log, deteco
e preveno;
Performance, incluindo capacidade mcima e dispositivos de
performance;
Gerenciamento, incluindo projeto e implementao, operao e
manuteno e treinamento, documentao e suporte tcnico;
Custo de ciclo de vida, tanto inicial como custo de manutenao.