O que são IDS e IPS (detecção e prevenção de intrusão)?
IDS e IPS são as tecnologias que vigiam o tráfego da rede em busca de atividade maliciosa. O IDS (sistema de detecção de intrusão) observa e alerta quando reconhece um ataque, como um detector de fumaça; o IPS (sistema de prevenção de intrusão) vai além e age na hora, bloqueando o tráfego suspeito antes que ele cause dano. Juntos, dão à rede os olhos e os reflexos que o firewall sozinho não tem.
Como IDS e IPS funcionam
Os dois analisam o tráfego que circula na rede e comparam o que veem com o que já sabem ser perigoso e com o que foge do normal. A diferença está no que fazem depois: o IDS avisa; o IPS, posicionado no caminho do tráfego (inline), também intervém.
Observa o tráfego da rede
Inspeciona os pacotes que entram, saem e circulam entre os sistemas, procurando o sinal de um ataque no meio do tráfego legítimo.
Compara com assinaturas e com o normal
Reconhece padrões de ataques conhecidos (detecção por assinatura) e aprende o comportamento habitual da rede para sinalizar o desvio (detecção por anomalia), que é o que pega o ataque inédito.
Alerta (IDS) ou bloqueia (IPS)
O IDS registra e dispara o alerta para a equipe agir; o IPS, no caminho do tráfego, derruba o pacote malicioso, corta a conexão e ajusta a defesa na hora.
Alimenta a investigação
O registro do que foi detectado é matéria-prima para reconstruir o incidente e para a caça a ameaças, ligando a detecção de rede ao centro de monitoramento.
Fonte: Cyber Encyclopedia da N-able (definições de IDS e IPS, detecção por assinatura e por anomalia, tipos de sensor) e NIST SP 800-94 (guia de detecção e prevenção de intrusão).
Sinais de que a sua rede está cega sem IDS/IPS
- Ninguém saberia dizer o que está acontecendo dentro da rede agora. O firewall mostra o que passou pela porta, mas não o que o intruso faz depois de entrar.
- Um ataque só é percebido quando o estrago aparece. Sem detecção, o tempo entre a invasão e a descoberta se estende por meses, e é nesse silêncio que o dano cresce.
- Os alertas existem, mas ninguém os lê. Ferramenta que gera aviso sem alguém para triar é o mesmo que não ter aviso: o sinal do ataque real se perde no ruído.
- A rede é plana e o tráfego interno não é observado. Um dispositivo comprometido conversa livremente com os outros, e nada acende um alerta sobre esse movimento lateral.
IDS × IPS e os tipos de sensor
- IDS: detecta e alerta Passivo. Observa o tráfego, reconhece o ataque e avisa, sem interromper. É o detector de fumaça: enxerga o problema, mas quem age é a equipe.
- IPS: detecta e bloqueia Ativo e no caminho do tráfego (inline). Além de reconhecer, derruba o pacote malicioso e corta a conexão na hora. É o sistema de aspersão que dispara sozinho.
- De rede (NIDS/NIPS) Vigia o tráfego que circula pela rede como um todo, em pontos estratégicos, procurando o ataque no fluxo entre os sistemas.
- De host (HIDS/HIPS) Fica dentro de um servidor ou estação específica e vigia o que acontece naquela máquina, complementando a visão de rede.
- Por assinatura ou por anomalia A detecção por assinatura pega o ataque conhecido; a por anomalia aprende o normal e sinaliza o desvio, cobrindo a ameaça inédita ao custo de mais falsos positivos.
Por que a detecção define o tamanho do estrago
O que torna uma invasão cara não é só a entrada, é o tempo que o invasor passa dentro sem ser notado. Uma violação leva, em média, 241 dias para ser identificada e contida (IBM, 2025): quase oito meses em que o atacante se movimenta, mapeia a rede e prepara o golpe final. A detecção existe para encurtar esse intervalo. Ao mesmo tempo, a exploração de vulnerabilidades cresceu 34% e já responde por 20% das violações (Verizon DBIR 2025), justamente o tipo de tráfego de ataque que um IPS reconhece e bloqueia no caminho. O firewall decide quem pode entrar; o IDS/IPS vigia o que já está circulando e reage. Sem essa camada, a rede fica com uma porta trancada e nenhum alarme lá dentro, enquanto uma violação custa, em média, $ 4,44 milhões (IBM, 2025).
Como tirar valor real de IDS/IPS
Um IDS/IPS entrega resultado quando é bem posicionado e, sobretudo, quando alguém acompanha o que ele encontra:
- Posicione onde o tráfego importaColocar os sensores nos pontos certos da rede, e dentro dos sistemas críticos, é o que garante que o ataque seja visto onde ele de fato passa.
- Comece detectando, avance para prevenirLigar em modo de detecção mostra o tráfego normal e reduz o risco de bloquear o legítimo; com a linha de base ajustada, o IPS entra bloqueando com segurança.
- Dê um destino aos alertasUm alerta sem alguém para triar não vale nada. A detecção só vira defesa quando um analista separa o sinal real do falso positivo e decide a ação.
- Mantenha assinaturas e regras atualizadasOs ataques mudam todo dia. Sem atualização contínua, a detecção por assinatura envelhece e passa a deixar entrar o que ontem barrava.
- Ligue à respostaDetectar sem responder só documenta o incidente. Conectar o IDS/IPS ao monitoramento e à resposta é o que transforma o alerta em ameaça contida.
Na prática
Quanto tempo um invasor ficaria dentro da sua rede antes de alguém perceber? Enquanto a resposta for contada em meses, e não em minutos, o que falta não é sorte, é detecção.
Como a Zamak vigia a rede por dentro
A Zamak Technologies não deixa a detecção virar um alarme que ninguém escuta: a vigilância do tráfego é operada dentro do centro de monitoramento (SOC) gerenciado, onde o alerta é triado por especialistas e ligado à resposta, ao lado da sua equipe e não no lugar dela. Um diagnóstico de cibersegurança mostra o quanto a sua rede está visível hoje, ou cega. Essa vigilância faz parte da Cibersegurança gerenciada do Método Zamak.