(English)

Qué es IDS - Sistema de detección de intrusos

June 26, 2024
Telecomunicación
Qué es IDS - Sistema de detección de intrusos
Un sistema de detección de intrusos es una herramienta de seguridad de red que supervisa el tráfico y los dispositivos de red para detectar actividades maliciosas o sospechosas, o violaciones de las políticas de seguridad.

Los IDS aceleran y automatizan la detección de amenazas en la red alertando o enviando alertas a SIEM, un sistema centralizado de gestión de eventos de seguridad. SIEM acumula datos de múltiples fuentes para ayudar a los profesionales de la ciberseguridad a identificar y responder a las ciberamenazas.

Los IDS también pueden garantizar el cumplimiento de determinados requisitos. Por ejemplo, el cumplimiento de la norma PCI-DSS exige implantar protección antivirus y proteger la red y la información almacenada y transmitida de los titulares de tarjetas.

Sin embargo, un IDS no puede gestionar las amenazas de seguridad por sí solo y suele estar integrado en un IPS, un sistema de prevención de intrusiones que puede detectar y prevenir las amenazas de seguridad automáticamente.

Cómo funcionan los sistemas de detección de intrusos

Los IDS se implementan como aplicaciones de software instaladas en puntos finales, o dispositivos de hardware dedicados conectados a una red. Algunas soluciones IDS están disponibles como servicios basados en la nube. Independientemente del tipo de implementación, los IDS utilizan uno o dos métodos principales de detección de amenazas: basado en firmas o basado en anomalías.

Detección basada en firmas

Este método analiza los paquetes de red en busca de firmas de ataque, es decir, características únicas asociadas a una amenaza concreta. El IDS mantiene una base de datos de firmas de virus ya conocidos con las que compara los paquetes de red. Si parte del código del paquete coincide con el código del virus en la base de datos, el IDS lo detectará.

Para seguir siendo eficaces, las bases de datos de firmas deben actualizarse periódicamente con información sobre nuevos virus. Un nuevo virus no analizado puede eludir un IDS basado en este método.

Detección basada en anomalías

Este método utiliza el aprendizaje automático para crear y mejorar continuamente un modelo subyacente de la actividad normal de la red. La actividad actual de la red se compara con el modelo para identificar eventos sospechosos o tendencias.

Dado que un sistema IDS basado en anomalías informa de cualquier comportamiento anómalo, es capaz de detectar nuevos tipos de ciberataques no detectados por el método basado en firmas. Por ejemplo, los IDS basados en anomalías pueden detectar exploits de día cero, es decir, ataques que aprovechan vulnerabilidades del software antes de que el desarrollador de éste las descubra y tenga tiempo de parchearlas.

Por otro lado, los IDS basados en anomalías son propensos a los falsos positivos. Incluso acciones inocuas, como que un usuario autorizado acceda por primera vez a un recurso compartido de la red corporativa, pueden hacer sospechar a un IDS.

Métodos de detección menos comunes

Detección basada en la reputación bloquea el tráfico procedente de direcciones IP y dominios asociados con actividades maliciosas o sospechosas.

El análisis de protocolos Stateful se centra en el comportamiento de los protocolos; por ejemplo, puede detectar un ataque DDoS detectando una dirección IP que realiza varias solicitudes de conexión TCP simultáneas en un breve periodo de tiempo.

Sea cual sea el método o métodos que utilice el IDS, cuando detecta una amenaza potencial o una violación de la política, alerta al equipo de respuesta a incidentes. El IDS también realiza un seguimiento de los incidentes de seguridad en sus propios registros, o registrándolos con SIEM. Los registros de incidentes se utilizan para refinar los criterios del IDS, por ejemplo, añadiendo nuevas firmas de ataque o actualizando el modelo de comportamiento de la red.

Tipos de sistemas de prevención de intrusiones

Los IDS se clasifican en función de su ubicación en el sistema y del tipo de actividad que monitorizan.

NIDS

Sistema de detección de intrusiones en la red: el NIDS supervisa el tráfico entrante y saliente de los dispositivos de red. El NIDS se coloca en puntos importantes de la red, a menudo justo detrás de los cortafuegos. Los NIDS también pueden colocarse dentro de la red para detectar amenazas internas o piratas informáticos que acceden a cuentas de usuario. Por ejemplo, se puede colocar un NIDS detrás de cada cortafuegos interno en una red segmentada para supervisar el tráfico que viaja entre subredes.

Para evitar obstaculizar el flujo de tráfico legítimo, los NIDS suelen colocarse «fuera de banda», lo que significa que el tráfico no pasa a través de ellos. Así, NIDS analiza copias de paquetes de red en lugar de los propios paquetes, lo que no le impide detectar tráfico malicioso.

HIDS

Sistema de detección de intrusiones en host: el HIDS se instala en un punto final específico, como un portátil, un enrutador o un servidor. HIDS supervisa únicamente el tráfico entrante y saliente en el dispositivo donde está instalado. Normalmente, el HIDS crea periódicamente instantáneas de los archivos críticos del sistema operativo y los compara entre sí. Si el HIDS detecta un cambio, como ediciones de archivos de registro o cambios de configuración, alerta al equipo de seguridad.

Los equipos de seguridad suelen combinar los sistemas NIDS y HIDS. El NIDS examina el tráfico en general, mientras que el HIDS proporciona protección adicional para los activos valiosos. HIDS también puede ayudar a detectar actividad maliciosa desde un host de red comprometido, como un programa ransomware que se propaga desde un dispositivo infectado.

Aunque NIDS y HIDS son los más comunes, los equipos de seguridad también pueden utilizar otros IDS.

IDS basado en protocolos – El PIDS supervisa los protocolos de las conexiones entre servidores y dispositivos. PIDS se coloca a menudo en los servidores web para supervisar las conexiones HTTP o HTTPS.

IDS basado en protocolo de aplicación – APIDS opera en la capa de aplicación. APIDS suele desplegarse entre un servidor web y una base de datos SQL para detectar inyecciones SQL.

Formas de eludir IDS

Las tácticas de evasión de IDS más comunes incluyen ataques DDoS, suplantación de identidad, fragmentación y cifrado.

Los ataques DDoS desactivan un IDS inundándolo con tráfico malicioso procedente de múltiples fuentes. Cuando los recursos del IDS se ven desbordados por falsas amenazas, los hackers se cuelan.

Spoofing – Suplantación de direcciones IP y registros DNS para crear la ilusión de que el tráfico procede de una fuente de confianza.

Fragmentación – Dividir malware u otros datos maliciosos en pequeños paquetes que ocultan la firma y evitan la detección. Retrasando los paquetes o enviándolos fuera de orden, los hackers pueden impedir que el IDS los vuelva a ensamblar y detecte el ataque.

Cifrado – utilizar protocolos cifrados para eludir el IDS, con la expectativa de que éste no disponga de la clave de descifrado correspondiente.

IDS y otras soluciones de seguridad

El IDS no es una solución independiente, sino parte de un sistema holístico de seguridad de la información. Suele estar integrado con SIEM, IPS y cortafuegos.

IDS y SIEM

Las alertas de IDS suelen reenviarse al sistema SIEM. La integración de IDS con SIEM permite a los equipos de seguridad vincular las alertas con los análisis de amenazas de IDS y los datos de otras herramientas, filtrar las falsas alarmas y priorizar la corrección de incidentes.

IDS e IPS

Los IPS, al igual que los IDS, supervisan el tráfico de red en busca de actividades sospechosas e interceptan las amenazas en tiempo real, interrumpiendo automáticamente las conexiones o activando otras herramientas de seguridad.

IDS e IPS pueden implementarse como soluciones separadas o combinadas en un único Sistema de Detección y Prevención de Intrusiones (IDPS). Detecta y registra las intrusiones, alerta a los servicios de seguridad y responde automáticamente a los incidentes.

IDS y cortafuegos

Los cortafuegos actúan como barreras utilizando conjuntos de reglas predefinidas para permitir o denegar el tráfico. Los IDS a menudo se sitúan junto a los cortafuegos y ayudan a interceptar el tráfico malicioso. Y algunos cortafuegos ya incorporan funciones IDS e IPS.

Utilizamos cookies para optimizar la funcionalidad del sitio y ofrecerle la mejor experiencia posible. Para saber más sobre las cookies que utilizamos, visite nuestra Política de Cookies. Al hacer clic en "Aceptar", aceptas el uso que hacemos de las cookies. Más información