Home 01 - Conceitos 01 - Redes 12 - Seguranca de Redes 02 - Mecanismos de Defesa 02 - Detecção e Prevenção

HIDS (Host-Based Intrusion Detection System)

O HIDS (Host-Based Intrusion Detection System) é uma solução de detecção de intrusão instalada diretamente em um host — servidor, workstation ou qualquer endpoint — com o objetivo de monitorar atividades internas e identificar comportamentos maliciosos ou violações de política de segurança.

Diferentemente de mecanismos que analisam tráfego de rede, o HIDS observa o que acontece dentro do sistema operacional, oferecendo visibilidade detalhada sobre arquivos, processos, logs, usuários e configurações.

1. Arquitetura e Funcionamento

Um HIDS normalmente é composto por:

  • Agente local: Instalado no host, responsável por coletar eventos.
  • Motor de análise: Pode ser local ou centralizado.
  • Servidor de gerenciamento (opcional): Consolida logs e alertas.
  • Base de regras/assinaturas: Define o que deve ser considerado suspeito.

O agente monitora continuamente:

  • Alterações em arquivos críticos
  • Chamadas de sistema (system calls)
  • Criação e término de processos
  • Mudanças em permissões
  • Alterações no registro (em sistemas Windows)
  • Logs do sistema e de aplicações
  • Tentativas de login e escalonamento de privilégio

Quando um evento corresponde a uma regra definida ou viola um baseline previamente estabelecido, o sistema gera um alerta.

2. Principais Técnicas Utilizadas

a) Monitoramento de Integridade de Arquivos (FIM)

Uma das funções mais importantes do HIDS é o File Integrity Monitoring (FIM). Ele cria um baseline criptográfico (hashes como SHA-256) de arquivos críticos do sistema, como:

  • /etc/passwd
  • /etc/shadow
  • /bin, /usr/bin
  • Arquivos de configuração de serviços

Se qualquer modificação ocorrer fora de uma janela autorizada, o HIDS identifica e alerta.

Essa abordagem é extremamente eficaz para detectar:

  • Trojans substituindo binários legítimos
  • Backdoors inseridos em bibliotecas
  • Modificações não autorizadas em configurações

b) Análise de Logs

O HIDS também analisa logs locais em tempo real:

  • Logs de autenticação
  • Logs de serviços web
  • Logs de banco de dados
  • Eventos do kernel

Ele pode detectar padrões como:

  • Múltiplas tentativas de login falhas
  • Uso indevido de sudo
  • Execução de comandos administrativos fora de horário padrão
  • Atividades suspeitas de usuários privilegiados

c) Detecção Baseada em Assinatura

Funciona comparando eventos do sistema com padrões conhecidos de ataques.

Exemplo:

  • Assinaturas para rootkits
  • Indicadores de comprometimento (IOCs)
  • Padrões de comportamento associados a exploits conhecidos

Limitação: não detecta ataques inéditos (zero-day).

d) Detecção Baseada em Anomalia

Cria um perfil normal de comportamento do sistema e identifica desvios.

Exemplos:

  • Processo que nunca se conectou à internet começa a gerar tráfego externo
  • Serviço rodando com UID inesperado
  • Binário executado em diretório incomum

Essa abordagem aumenta a capacidade de detectar ataques sofisticados, inclusive living off the land.

3. HIDS vs NIDS

Característica HIDS NIDS
Local de monitoramento Dentro do host Tráfego de rede
Visibilidade pós-exploração Alta Limitada
Detecção de movimentação lateral Limitada Melhor
Impacto de desempenho Pode existir Geralmente menor no host

O HIDS é especialmente eficaz para identificar pós-exploração, persistência e alterações internas após o comprometimento inicial.

4. Exemplos de Implementação

Algumas soluções amplamente utilizadas:

  • OSSEC – Open source, com análise de logs e FIM.
  • Wazuh – Evolução do OSSEC, com integração a SIEM.
  • Tripwire – Forte foco em integridade de arquivos.

Essas soluções permitem gerenciamento centralizado e integração com ambientes corporativos.

5. Limitações

Apesar de sua profundidade, o HIDS possui limitações relevantes:

  • Visão isolada: Cada agente enxerga apenas o próprio host.
  • Possibilidade de evasão: Se o atacante obtiver privilégio root/kernel, pode manipular logs ou desativar o agente.
  • Geração de falsos positivos: Especialmente em ambientes dinâmicos.
  • Consumo de recursos: Monitoramento contínuo pode impactar desempenho.

6. Papel em Arquitetura Moderna

Em ambientes Linux corporativos, o HIDS é particularmente valioso para:

  • Servidores críticos
  • Ambientes de produção
  • Sistemas expostos à internet
  • Infraestruturas com requisitos de compliance

Ele funciona como um mecanismo de detecção de última linha, especialmente útil quando o perímetro já foi ultrapassado.

Em um SOC maduro, eventos de HIDS são correlacionados com:

  • Logs de firewall
  • Telemetria de rede
  • Autenticação centralizada
  • Sistemas SIEM

Isso permite reconstruir cadeia de ataque, identificar persistência e reduzir tempo de resposta.

7. Considerações Estratégicas

Para ambientes Linux focados em segurança ofensiva e defensiva:

  • HIDS é essencial para detectar alteração de binários e rootkits.
  • Deve ser combinado com monitoramento de rede.
  • Requer hardening do próprio agente.
  • Deve enviar logs para servidor remoto (evitando perda em caso de comprometimento).

Em resumo, o HIDS oferece visibilidade profunda no nível do sistema operacional, sendo uma peça crítica para detectar comprometimentos que não seriam visíveis apenas pela análise de tráfego de rede.