Um serviço de segurança IPS é normalmente implantado “em linha”, no caminho de comunicação direta entre a origem e o destino, onde ele pode analisar em “tempo real” todo o fluxo de tráfego de rede ao longo desse caminho e tomar medidas preventivas automatizadas. O IPS pode ser implantado em qualquer lugar na rede, mas suas implantações mais comuns são:
- Borda empresarial, perímetro
- Centro de dados empresarial
Um IPS pode ser implantado como um IPS autônomo de melhor qualidade ou o mesmo recurso pode ser ativado na função de IPS consolidado dentro de um firewall de próxima geração (next-generation firewall, NGFW). Um IPS usa assinaturas que podem ser uma vulnerabilidade ou exploração específicas para identificar tráfego mal-intencionado. Normalmente, elas são uma detecção baseada em assinatura ou detecção baseada em anomalia estatística para identificar atividade mal-intencionada.
- A detecção baseada em assinatura usa assinaturas exclusivamente identificáveis que estão localizadas no código de exploração. Quando explorações são descobertas, suas assinaturas entram em um banco de dados cada vez mais expandido. A detecção baseada em assinatura para IPS envolve assinaturas voltadas para a exploração, que identificam as próprias explorações individuais ou assinaturas voltadas para a vulnerabilidade, que identificam a vulnerabilidade no sistema que está sendo alvo de ataque. Assinaturas voltadas para vulnerabilidades são importantes para identificar possíveis variantes de exploração que não foram observadas anteriormente, mas também aumentam o risco de resultados falsos positivos (pacotes benignos rotulados incorretamente como ameaças).
- A detecção estatística baseada em anomalias faz a amostragem aleatória do tráfego de rede e então compara as amostras com as linhas de base do nível de desempenho. Quando as amostras são identificadas como estando fora da linha de base, o IPS aciona uma ação para evitar um possível ataque.
Depois que o IPS identifica o tráfego mal-intencionado que pode ser explorado pela rede, ele implanta o que é conhecido como patch virtual para proteção. Patch virtual atua como uma medida de segurança contra ameaças que exploram vulnerabilidades conhecidas e desconhecidas. O patch virtual funciona implementando camadas de políticas e regras de segurança que impedem e interceptam uma exploração de pegar caminhos de rede de e para uma vulnerabilidade, oferecendo, assim, cobertura contra essa vulnerabilidade no nível da rede em vez do nível do host.
Enquanto os sistemas IDS monitoram a rede e enviam alertas aos administradores de rede sobre possíveis ameaças, os sistemas IPS tomam medidas mais substanciais para controlar o acesso à rede, monitorar os dados de intrusão e evitar o desenvolvimento de ataques.