Perguntas e Respostas
1) Em linhas gerais, o que caracteriza uma intrusão?
Uma intrusão é caracterizada por uma tentativa de violação de qualquer um dos três pilares da segurança computacional: a confiabilidade, a integridade e a disponibilidade de recursos.
2) Quais as principais diferenças dos sistemas de detecção de intrusão baseados na rede e baseados na estação?
SDIs baseados em rede monitoram todo o tráfego de um determinado segmento da rede, analisando todos o tráfego que por ali passa, SDIs baseados na estação monitoram apenas as atividades da estação em que estão instalados.
3) Explique resumidamente como funciona a análise por anomalias
A análise por anomalias parte do pressuposto que o comportamento durante o ataque não é o mesmo comportamento normal, desta forma, determinam-se perfis para todas as entidades do sistema, quando é detectado um comportamento que fuja do comportamento padrão do sistema, então é disparado o alarme.
4) Uma determinada empresa possui dois servidores que tem que suportar um grande volume de tráfego, os responsáveis pela segurança deste sistema tem pouca experiência. Neste caso seria recomendável a utilização de um SDI baseado na Estação que faça a análise por assinaturas, Esta afirmação está correta? Justifique.
A afirmativa está correta, SDIs Baseados em Rede tem dificuldade para lidar com grandes demandas de tráfego, desta forma, embora haja mais de uma máquina, o sistema instalado em ambas não geraria uma perda computacional tão grande. Um sistema que utilize a técnica de assinaturas é mais fácil de gerenciar, e os ataques "assinados" geram ações corretivas de maneira mais rápida, já que, se há uma assinatura, já existiu um ataque e uma ação corretiva correspondente.
5) O que são potes de mel, e quais as suas finalidades, ele substitui o SDI?
Potes de Mel são armadilhas montadas de forma a serem atacadas sem gerar dano ao ambiente do usuário como um todo. Desta forma, é possível gerar conhecimento sobre técnicas de ataques utilizadas por intrusos e rastrear seus passos após o ataque. Um pote de mel não substitui ao SDI, sua utilização é uma ação complementar.