Questão nº 51
Questão de Tecnologia da Informação · FGV DATAPREV 2024 (nº 51)
Uma empresa de dados computacionais precisa instalar um sistema de detecção de intrusos (IDS) que funciona verificando trechos de código, guardados em um banco de dados, que são usados para comparar com trechos de pacotes recebidos e possibilitam detectar e impedir variantes de malwares ou vírus de infectar todo a rede da empresa.
Esse tipo de IDS é o de detecção baseado em
- Aanomalias.
- Bassinaturas. (alternativa correta)
- Cprotocolos.
- Dreputação.
- Ecomportamento.
Resposta comentada
Gabarito Alternativa B
Um Sistema de Detecção de Intrusos (IDS) é como um guarda de segurança que monitora o tráfego da rede ou a atividade do sistema para identificar atividades maliciosas. Existem principalmente dois tipos: um que busca por padrões conhecidos de ataque (assinaturas) e outro que busca por coisas incomuns (anomalias).
- (A) Incorreta: A detecção por anomalias funciona criando uma linha de base do comportamento normal da rede ou do sistema e, então, sinaliza qualquer desvio significativo dessa linha de base. Ela não se baseia em "trechos de código guardados em um banco de dados" de ataques conhecidos, mas sim no que é diferente do padrão. A armadilha aqui é que ambos detectam ameaças, mas o método é distinto: anomalias buscam o incomum, enquanto assinaturas buscam o conhecido malicioso.
- (B) Correta: A detecção baseada em assinaturas (ou signature-based) é exatamente o que a descrição detalha. Ela compara padrões conhecidos de ataques (as "assinaturas" ou "trechos de código" maliciosos) armazenados em um banco de dados com o tráfego de rede ou arquivos para identificar ameaças. A menção de "trechos de código, guardados em um banco de dados" para "comparar com trechos de pacotes recebidos" é a definição clássica de detecção por assinatura.
- (C) Incorreta: A detecção baseada em protocolos verifica se o tráfego de rede está em conformidade com as especificações dos protocolos de rede (ex: HTTP, TCP/IP). Ela busca por violações de protocolo, não por trechos de código maliciosos dentro dos pacotes.
- (D) Incorreta: A detecção baseada em reputação utiliza listas de IPs, URLs, domínios ou hashes de arquivos que já são conhecidos por serem maliciosos ou suspeitos. Ela se baseia na "fama" de um elemento, não na análise de trechos de código internos.
- (E) Incorreta: A detecção baseada em comportamento é uma forma mais avançada de detecção de anomalias, focando em padrões de uso ou atividade de usuários e aplicações que fogem do normal. Embora possa detectar ameaças sem assinaturas, ela não o faz comparando "trechos de código" predefinidos.
Fonte: FGV DATAPREV 2024 Analista de Tecnologia da Informação - Segurança Cibernética e Proteção de Dados (Caderno Tipo 1). Reproduzida para fins de estudo.