Questões sobre Sistema Detecção de Intrusão - IDS

A segurança da informação representa uma necessidade cada vez maior de empresas e indivíduos, envolvendo, entre outros aspectos, a proteção dos sistemas de informação contra a negação de serviços a usuários autorizados, assim como contra a intrusão e a modificação desautorizadas de dados ou informações armazenados, em processamento ou em trânsito. Acerca da segurança da informação, julgue os seguintes itens.

Um honeypot é uma ferramenta que pode ser utilizada pelo administrador de segurança de uma rede para obter maiores informações acerca das características de um ataque realizado contra a rede. Tal ferramenta pode ser também utilizada para testar e aperfeiçoar um IDS da organização.

• C. Certo
• E. Errado

Com relação aos diversos aspectos de segurança em redes de computadores, julgue os itens que se seguem.

Um sistema de detecção de intrusão é semelhante a um firewall, contudo não tem regras para bloquear o tráfego, apenas monitora os pacotes que entram e saem de uma rede, procurando por alguma evidência de tentativa de intrusão, quando, então, um alarme é gerado.

• C. Certo
• E. Errado

A segurança da informação é um aspecto fundamental a ser tratado na administração e na operação de sistemas de informação em redes de computadores. Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes.

Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDS deixa de detectar uma intrusão que efetivamente ocorreu.

• C. Certo
• E. Errado

A utilização de sistemas de detecção de intrusão ou intrusion detection systems (IDS) é uma das formas de se prevenir o sucesso de ataques a um sistema de informações. De acordo com os princípios e técnicas de IDS, julgue os itens a seguir.

Sistemas de detecção de instrusão enquadram-se em duas categorias: baseados em rede (network based) e baseados em host. Os primeiros monitoram todo o tráfego em um segmento de rede, procurando por assinaturas que evidenciem uma atividade suspeita, e os demais monitoram a atividade em um host específico. Um IDS baseado em rede tende a ser mais complexo e caro, estando sujeito a gerar falsos alarmes com maior freqüência.

• C. Certo
• E. Errado

A utilização de sistemas de detecção de intrusão ou intrusion detection systems (IDS) é uma das formas de se prevenir o sucesso de ataques a um sistema de informações. De acordo com os princípios e técnicas de IDS, julgue os itens a seguir.

Uma forma comum de detecção de intrusão é a análise de anomalias estatísticas no sistema, tais como taxa de utilização de CPU e atividade de discos. A desvantagem desses métodos é que não detectam ataques oriundos da rede interna da organização perpetrados por usuários legítimos.

• C. Certo
• E. Errado

Com relação a IDS, analise as afirmativas a seguir:

I. NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas.

II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.

III. IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos.

Está correto somente o que se afirma em:

• A. I;
• B. II;
• C. III;
• D. I e II;
• E. I e III.

Procurando minimizar o número de spams que uma empresa recebe, os administradores de rede resolveram implementar a técnica de greylist, que consiste em:

• A. utilizar blacklists para rejeitar e-mails de fontes conhecidas de spam;
• B. permitir apenas o recebimento de mensagens oriundas de remetentes autenticados em SMTP;
• C. utilizar filtros baseados em relatos, onde o sistema “aprende” a partir de mensagens marcadas como spam pelos usuários;
• D. recusar temporariamente uma mensagem e esperar por sua retransmissão, que só costuma ocorrer a partir de MTAs legítimos;
• E. usar detecção por camadas para identificar padrões de spam, interrompendo em tempo real as mensagens indesejadas.

Considere que um Sistema de Detecção de Intrusão (Intrusion Detection System − IDS) de um Tribunal foi configurado para realizar certo tipo de detecção. Um usuário, que sempre realiza o acesso à Internet no horário comercial, está sendo monitorado pelo IDS. Este IDS passou uma semana criando o perfil deste usuário e, a partir do último dia daquela semana, começou a empregar em seu perfil o horário comercial como o permitido para a utilização da Internet. Certo dia, após a detecção estar ativa, o usuário quis acessar a Internet durante a madrugada para entregar um relatório importante. Como este comportamento não estava de acordo com o perfil criado, a resposta a esta detecção realizada pelo IDS foi o bloqueio do acesso à Internet para aquele usuário. Neste caso, o IDS detectou um falso positivo. Embora isso possa ocorrer, pois o comportamento de usuários e sistemas pode variar amplamente, este tipo de detecção pode identificar novas formas de ataques.

O tipo relatado é denominado Detecção

• A. por Comportamento Esperado (Behavior-Expected Detection).
• B. por Assinatura (Signature Detection).
• C. por Anomalia (Anomaly Detection).
• D. Baseada em Especificação (Specification-based Detection).
• E. Baseada em Perfil (Perfil-based Detection).