Clasificación de los sistemas de detección de intrusiones
Los IDS están diseñados para implementarse en diferentes entornos. Y al igual que muchas soluciones de ciberseguridad, un IDS puede estar basado en host o en red.
- IDS basado en host (HIDS): un IDS basado en host se implementa en un terminal en particular y está diseñado para protegerlo contra amenazas internas y externas. Un IDS de este tipo puede tener la capacidad de monitorear el tráfico de red hacia y desde la máquina, observar procesos en ejecución e inspeccionar los registros del sistema. La visibilidad de un IDS basado en host se limita a su máquina host, lo que disminuye el contexto disponible para la toma de decisiones, pero tiene una visibilidad profunda de las características internas del equipo host.
- IDS basado en red (NIDS): una solución IDS basada en red está diseñada para monitorear una red protegida completa. Tiene visibilidad de todo el tráfico que fluye a través de la red y toma decisiones basadas en los metadatos y el contenido de los paquetes. Este punto de vista más amplio proporciona más contexto y la capacidad de detectar amenazas generalizadas; sin embargo, estos sistemas carecen de visibilidad del interior del terminal que protegen.
Debido a los diferentes niveles de visibilidad, la implementación de un HIDS o NIDS de forma aislada proporciona una protección incompleta al sistema de una organización. Una solución unificada de administración de amenazas, que integra múltiples tecnologías en un solo sistema, puede proporcionar una seguridad más completa.
Método de detección de la implementación de un IDS
Más allá de su ubicación de implementación, las soluciones de IDS también difieren en la manera de identificar las posibles intrusiones:
- Detección de firmas: Las soluciones IDS basadas en firmas utilizan huellas digitales de amenazas conocidas para identificarlas. Una vez que se ha identificado el malware u otro contenido malicioso, se genera una firma y se agrega a la lista utilizada por la solución IDS para probar el contenido entrante. Esto permite que un IDS logre una alta tasa de detección de amenazas sin falsos positivos porque todas las alertas se generan en función de la detección de contenido malicioso conocido. Sin embargo, un IDS basado en firmas se limita a detectar amenazas conocidas y no detecta vulnerabilidades de día cero.
- Detección de anomalías: Las soluciones IDS basadas en anomalías crean un modelo del comportamiento “normal” del sistema protegido. Todos los comportamientos futuros se comparan con este modelo, y cualquier anomalía se etiqueta como amenazas potenciales y genera alertas. Si bien este enfoque puede detectar amenazas nuevas o de día cero, la dificultad de construir un modelo preciso de comportamiento “normal” significa que estos sistemas deben equilibrar los falsos positivos (alertas incorrectas) con falsos negativos (detecciones perdidas).
- Detección híbrida: Un IDS híbrido utiliza tanto la detección basada en firmas como la detección basada en anomalías. Esto le permite detectar más ataques potenciales con una tasa de error más baja que el uso de cualquiera de los sistemas de forma aislada.
IDS vs. firewalls
Los sistemas de detección de intrusiones y firewall son soluciones de ciberseguridad que se pueden implementar para proteger una terminal o una red. Sin embargo, difieren significativamente en sus propósitos.
Un IDS es un dispositivo de monitoreo pasivo que detecta amenazas potenciales y genera alertas, lo que permite a los analistas del centro de operaciones de seguridad (SOC) o al personal de respuesta a incidentes investigar y responder al posible incidente. Un IDS no proporciona ninguna protección real al terminal o a la red. Un firewall, por otro lado, está diseñado para actuar como un sistema de protección. Realiza análisis de los metadatos de los paquetes de red y permite o bloquea el tráfico según reglas predefinidas. Esto crea un límite sobre el cual ciertos tipos de tráfico o protocolos no pueden pasar.
Dado que un firewall es un dispositivo de protección activo, se parece más a un sistema de prevención de intrusiones (IPS) que a un IDS. Un IPS es como un IDS pero bloquea activamente las amenazas identificadas en lugar de simplemente levantar una alerta. Esto complementa la funcionalidad de un firewall, y muchos Firewall de última generación (NGFW) tienen funcionalidad IDS/IPS integrada. Esto les permite aplicar reglas de filtrado predefinidas (firewall) y detectar y responder a amenazas cibernéticas más sofisticadas (IDS/IPS). Obtenga más información sobre el debate IPS vs IDS aquí.
Cómo elegir una solución de IDS
Un IDS es un componente valioso que debería estar presente en la implementación de ciberseguridad de cualquier organización. Un simple firewall proporciona la base para la seguridad de la red, pero muchas amenazas avanzadas pueden pasar inadvertidas. Un IDS añade una línea de defensa adicional, lo que hace que sea difícil que un atacante acceda a la red de una organización sin ser detectado.
Al seleccionar una solución de IDS, es importante considerar cuidadosamente el escenario de implementación. En algunos casos, un IDS puede ser la mejor opción para el trabajo, mientras que en otros, la protección integrada de un IPS puede ser una mejor opción. El uso de un NGFW con funcionalidades de IDS/IPS integradas proporciona una solución integrada y simplifica la detección de amenazas y la gestión de seguridad.
Check Point tiene muchos años de experiencia en el desarrollo de sistemas IDS e IPS que brindan un alto nivel de detección de amenazas con tasas de error muy bajas, lo que permite a los analistas de SOC y a los respondedores de incidentes identificar fácilmente las verdaderas amenazas. Para ver nuestros NGFW, con funcionalidad IDS/IPS integrada, en acción, solicite una demostración o simplemente contáctenos si tiene alguna pregunta. Además, le invitamos a aprender sobre cómo prevenir ataques a la red de IoT y dispositivos en este seminario web.
Comentarios