IDS|IPS
IDS e IPS são muito semelhantes e fazem parte da mesma esfera de proteção, mas possuem responsabilidades diferentes.
O Intrusion Detection System (IDS) tem a responsabilidade de detectar atividades maliciosas (invasões) no ambiente. Esse ambiente pode ser um host (máquina, endpoint) ou até mesmo a rede inteira, dependendo do tipo de IDS e onde ele foi instalado. Caso algo suspeito seja detectado, ele apenas alerta para que um administrador analise e tome uma ação manual, se necessário.
Por outro lado, o Intrusion Prevention System (IPS) atua de modo muito semelhante no quesito monitoramento com o IDS, mas já possui condições de atuar automaticamente em cima de algumas atividades maliciosas para tentar bloquear ou mitigar o ataque. O IPS pode se utilizar dos alertas do IDS para agir, mas sua principal função é a prevenção automática — não necessariamente gerar alertas detalhados para análise humana. Nem sempre ele consegue agir 100% sozinho, principalmente em ataques novos ou desconhecidos (zero-day), podendo exigir intervenção manual ou atualização de regras.
Exemplos de ações que um IPS pode tomar:
- Matar um executável malicioso.
- Parar um serviço ou processo suspeito.
- Derrubar uma conexão de rede anômala.
- outros.
Por ser uma solução ativa, o IPS pode gerar falsos positivos, principalmente quando detecta novas conexões ou serviços ainda desconhecidos.
HIDS/HIPS vs NIDS/NIPS
Quando um IDS/IPS é voltado para proteger uma máquina específica (host), usa-se as siglas:
- HIDS: Host-based Intrusion Detection System
- HIPS: Host-based Intrusion Prevention System
Já quando o foco é proteger o tráfego de uma rede inteira, as siglas são:
- NIDS: Network-based Intrusion Detection System
- NIPS: Network-based Intrusion Prevention System
Muitos antivírus corporativos do mercado já integram funções de HIDS e HIPS, oferecendo detecção e resposta diretamente no endpoint.
Exemplos de ataques detectados por IDS/IPS:
- Exploits de vulnerabilidades (em software ou SO desatualizados).
- Atividade de Botnet (máquinas zumbis).
- Scans de portas não autorizados.
- Ataques ARP Cache Poisoning.
- Conflito de IP na rede.
- E muitos outros.
IDS/IPS em EDR
Os EDRs (Endpoint Detection and Response) modernos normalmente trazem funcionalidades que lembram HIDS/HIPS — como monitoramento de comportamento, bloqueio de processos maliciosos e detecção de explorações de vulnerabilidades locais.
Porém, vale a diferença:
EDR é mais avançado que HIDS/HIPS tradicional, pois envolve análise comportamental, resposta automatizada, coleta de telemetria contínua e integração com SIEM/SOAR.
Já HIDS/HIPS foca na detecção e bloqueio local de ameaças, sem (necessariamente) ter capacidade de resposta centralizada ou visão de todo o ambiente.
Ou seja, um EDR pode ter IDS/IPS como parte da solução, mas entrega muito mais do que um simples sistema de detecção/prevenção.
Tabela Comparativa
| Tecnologia | Onde atua | Ação principal | Automação? | Exemplo de uso |
|---|---|---|---|---|
| IDS | Host ou Rede | Detecta e alerta atividades suspeitas | Não (somente alerta) | Detectar scan de portas na rede |
| IPS | Host ou Rede | Detecta e bloqueia atividades maliciosas | Sim (bloqueia automaticamente) | Derrubar conexão maliciosa de IP externo |
| HIDS | Host (máquina/endpoint) | Detecta e alerta comportamento anômalo no host | Não (alerta local) | Detectar modificação suspeita em arquivos do sistema |
| HIPS | Host (máquina/endpoint) | Detecta e bloqueia ameaças locais | Sim (bloqueia processos ou conexões) | Impedir execução de malware no endpoint |
| NIDS | Rede | Detecta ataques no tráfego de rede | Não (somente alerta) | Identificar ataque ARP spoofing na rede |
| NIPS | Rede | Detecta e bloqueia ataques na rede | Sim (bloqueia tráfego malicioso) | Bloquear exploit de vulnerabilidade via rede |
| EDR | Host (máquina/endpoint) | Detecta, responde e investiga incidentes (com telemetria e análise comportamental) | Sim (resposta automatizada e manual) | Isolar endpoint infectado, coletar forense, matar processo suspeito |
- IDS/IPS são sensores mais "burros" e diretos, normalmente sem análise comportamental avançada.
- HIDS/HIPS/NIDS/NIPS definem o escopo de proteção: host ou rede.
- EDR é o canivete suíço do endpoint moderno — une detecção, prevenção, resposta, análise forense e integração com SIEM/SOAR — mas não substitui IPS de borda de rede (NIPS), que ainda é necessário para proteger o perímetro.
Soluções de Mercado
IDS / IPS (Rede e Host)
| Produto | Tipo | Vendor | Observações |
|---|---|---|---|
| Palo Alto Networks NGFW | NIPS/IPS | Palo Alto | Firewall de última geração com IPS embutido |
| Cisco Firepower | NIPS/IPS | Cisco | Integra com firewall, NGFW e IPS de rede |
| Fortinet FortiGate | NIPS/IPS | Fortinet | NGFW + IPS no mesmo appliance |
| Trend Micro TippingPoint | NIPS/IPS | Trend Micro | IPS dedicado para redes corporativas grandes |
| Check Point IPS | NIPS/IPS | Check Point | IPS embutido no appliance firewall |
| Snort | NIDS/IPS | Cisco | Open Source, muito usado em firewalls e roteadores |
| Suricata | NIDS/IPS | OISF (Open Source) | Suporta detecção e prevenção simultânea |
| Zeek (ex-Bro) | NIDS (IDS) | Open Source | Excelente para análise de tráfego e logs |
Quase todo NGFW (Firewall de Nova Geração) já vem com IPS embutido (tipo Palo Alto, Fortigate, Cisco Firepower).
🖥️ HIDS / HIPS (Host)
| Produto | Tipo | Vendor | Observações |
|---|---|---|---|
| Wazuh | HIDS | Open Source | Fork do OSSEC com dashboard e SIEM integrado |
| OSSEC | HIDS | Open Source | Um dos mais usados em Linux e Windows; leve |
| Trend Micro Apex One | HIPS | Trend Micro | HIPS focado em endpoint corporativo |
-
EDRs(Consulte) modernos geralmente trazem HIPS embutido (ex: CrowdStrike, SentinelOne, Defender). Na maioria das vezes acabamos usando um bom EDR que já resolve muita coisa de IPS|IDS para hosts e focamos mais em IPS|IDS para network (NIDS|NIPS).
-
Para grandes redes corporativas: Palo Alto NGFW, Fortigate, Cisco Firepower + EDR tipo Falcon ou SentinelOne.
Ainda é aquela velha história, em segurança, as melhores soluções são pagas.
