Seguridad perimetral 5min de Leitura - 01 de septiembre de 2015

IDS: Historia, concepto y terminología

Câmera de segurança no canto superior direito

This post is also available in: Português English Español

En los últimos años, la seguridad de redes ha sido un tema muy discutido por gestores de TI, que aumentan año tras año las inversiones para proteger la privacidad, integridad y disponibilidad de la información. Muchas de ellas por cuenta de acciones de usuarios, internos y externos, mal intencionados, que buscan hacer que nos estén disponibles los servicios, redes y sistemas de empresas de todos los portes y ramas de actuación. Para evitar esta situación, se implementan numerosas estrategias de defensa, como firewalls, uso masivo de criptografía, redes privadas virtuales, entre otros, buscando mantener la seguridad de las infraestructuras y el secreto de las comunicaciones realizadas a través de Internet.

Entre los métodos comúnmente utilizados, se destaca la detección de intrusión, o IDS (Intrusión Detection System). Con eso, podemos recopilar y utilizar información de los diversos tipos de ataques conocidos en pro de la defensa de toda infraestructura, además de poder identificar puntos o intentos de ataque, permitiendo no sólo el registro sino la mejora continua del ambiente de seguridad. En este post usted va a conocer la historia, el concepto y los principales tipos de IDS. ¡A continuación!

¿Qué es la detección de intrusión?

Alrededor de la década del 1960, los sistemas financieros comenzaron a introducir la práctica de la auditoría en sus procesos para inspeccionar datos y verificar la existencia de fraudes o errores en sistemas. Sin embargo, surgieron algunas cuestiones: ¿qué debería ser detectado, cómo analizar lo que se descubrió y cómo proteger los diversos niveles de habilitación de seguridad en una misma red sin comprometer la seguridad? Entre 1984 y 1986, Dorothy Denning y Peter Neumann desarrollaron un primer modelo de IDS, un prototipo nombrado como IDES (Sistema Especialista en Detección de Intrusión).

El modelo IDES se basa en la hipótesis de que el patrón de comportamiento de un intruso es diferente de un usuario legítimo para ser detectado por análisis de estadísticas de uso. Por ello, este modelo intenta crear un patrón de comportamiento de usuarios respecto a programas, archivos y dispositivos, tanto a corto como a largo plazo, para hacer la detección, además de alimentar el sistema que tiene como base las reglas para la representación de violaciones conocidas. A finales de los años 80, muchos otros sistemas fueron desarrollados, basados en un enfoque que combinaba estadística y sistemas especialistas.

Conceptualmente, el IDS se refiere a un mecanismo capaz de identificar o detectar la presencia de actividades intrusivas. En un concepto más amplio, esto engloba todos los procesos utilizados en el descubrimiento de usos no autorizados de dispositivos de red o de ordenadores. Esto se hace a través de un software diseñado específicamente para detectar actividades inusuales o anormales.

Sin embargo, debemos diferenciar IDS e IPS (Intrusion Prevention System). Mientras que el primero es un software que automatiza el proceso de detección de intrusos, el segundo es un software de prevención de intrusión, que tiene como objetivo impedir posibles ataques. Así que uno trabaja de manera reactiva e informativa, mientras que el IPS disminuye el riesgo de comprometimiento de un ambiente.

¿Cuáles son los tipos de IDS?

Los sistemas de detección de intrusos pueden clasificarse en cuatro grupos, dependiendo del tipo de evento que monitorean y cómo se implementan:

IDS basado en máquina y red

Network Based

Este tipo de IDS monitorea el tráfico de red en un segmento o dispositivo, y analiza la red y la actividad de los protocolos para identificar actividades sospechosas. Este sistema también es capaz de detectar innumerables tipos de eventos de interés, y por lo general se implementa en una topología de seguridad como frontera entre dos redes, por donde el tráfico es afilado. Por su parte, en muchos casos, el propio recurso de IDS termina por integrarse directamente en el firewall.

Host Based

El término host se refiere a un equipo o activo propiamente dicho. En este caso, podemos considerar un equipo de un usuario, o un servidor, como un host. La detección de intrusión, en este formato, monitorea las características del dispositivo y los eventos que ocurren con él en busca de actividades sospechosas. Generalmente los IDS basados en host se pueden instalar de manera individual, tanto para equipos corporativos dentro de una red empresarial, como para endpoints. Entre las principales características que los acompaña, se destaca el tráfico de la red para el dispositivo, los procesos en ejecución, los registros del sistema, así como el acceso y cambio en archivos y aplicaciones.

IDS basado en conocimiento y comportamiento

Conocimiento

Un IDS basado en conocimiento hace referencia a una base de datos de perfiles de vulnerabilidades de sistemas ya conocidos para identificar intentos de intrusión activos. En este caso, es de suma importancia que la estructura tenga una política de actualización continua de la base de datos (firmas) para garantizar la continuidad de la seguridad del ambiente, teniendo en cuenta que lo que no se conoce, literalmente, no será protegido.

Comportamiento

El IDS basado en comportamiento, por otro lado, analiza el comportamiento del tráfico siguiendo una línea de base o estándar de actividad normal del sistema para identificar intentos de intrusión. En el caso de que haya desviaciones de este patrón o líneas de base, se pueden tomar algunas acciones, ya sea bloqueando ese tráfico temporalmente, alarmas para núcleos de operación de red (NOC/SNOC), permitiendo que esa anormalidad pueda ser mejor investigada, liberada o permanentemente bloqueada.

IDS activo y pasivo

Activo

Se define un IDS como activo desde el momento en que se define para bloquear automáticamente ataques o actividades sospechosas que sean de su conocimiento, sin necesidad de intervención humana. Aunque potencialmente es un modelo extremadamente interesante, es importante un ajuste de parámetros adecuado a los ambientes protegidos para minimizar falsos positivos, bloqueando conexiones legítimas y causando trastornos para las empresas.

Pasivo

Un IDS pasivo, por otro lado, actúa de manera a monitorear el tráfico que pasa a través de él, identificando potenciales ataques o anormalidades y, con base en ello, generando alertas para administradores y equipos de seguridad; sin embargo, no interfiere en absolutamente nada en la comunicación.

Se trata de un modelo bastante interesante en una arquitectura de seguridad, independientemente de no actuar directamente en la prevención, sirve como un excelente termómetro de ataques e intentos de acceso no autorizados a la infraestructura de una empresa.

¿Por qué es importante un sistema de detección de intrusión?

Cada día se crean nuevas técnicas para exponer a los ambientes computacionales, y es un gran desafío para el mercado de seguridad de la información acompañar esta velocidad, e incluso estar al frente para no actuar de forma reactiva. Por ello, la implementación de una buena política de IDS es fundamental en una arquitectura de seguridad, ya que este recurso, si se actualiza constantemente, es capaz de mantener la infraestructura distante de ataques oportunistas, ya sea desde una perspectiva de la red, o por la propia exposición de un ordenador.

Combinar tanto los sistemas de detección y prevención de intrusión basados en red como en host es fundamental para una buena salud de seguridad. Ninguno de los modelos presentados es necesariamente excluyente, por el contrario, ellos deben ser tratados como complementarios de acuerdo a la necesidad y criticidad de protección exigidas por un negocio.

¿Usted ya utiliza un IDS para detectar situaciones anómalas e indeseadas en sistemas y redes de ordenadores? ¡Cuéntenos en los comentarios!

This post is also available in: Português English Español