Sistema de detección de intrusos, IDS, Intrusion detection system, qué es. Los sistemas de detección de intrusos (IDS) se emplean para monitorear el tráfico de red y detectar actividad maliciosa . Esto generalmente se logra haciendo coincidir los contenidos del tráfico de red con la actividad maliciosa ya conocida (la firma), si se descubre una coincidencia, se genera una alerta.
Es común realizar la captura del tráfico de la red en paralelo con la intrusión de la red.detección; Esto permite una investigación posterior del tráfico que causó la alerta, con el fin de descubrir más detalles sobre el ataque, incluidas las direcciones IP involucradas. El firewall y los registros del sistema también capturan direcciones IP y pueden contener información sobre actividades maliciosas. Por lo tanto, la información suministrada por estos sistemas puede ofrecer evidencia incriminatoria relacionada tanto con la fuente de la violación como con la gravedad del delito, lo que podría ser suficiente para emitir una orden de allanamiento o arresto.
Los sistemas de detección de intrusos están diseñados para evitar que individuos o ataques automatizados obtengan acceso a su servidor o red. Si se detecta un intento de intrusión, se registra y se emite una alerta a los administradores de seguridad . Existen numerosos métodos por los cuales se reconocen las intrusiones, pero esta información está más allá del alcance de este post y de la mayoría de los administradores de aplicaciones.
Algunas de las herramientas IDS más comunes que podrían haberse instalado en su servidor de aplicaciones son:
• Snort
• Firestorm
• Prelude
• Dragon
• STAT
Como administrador de la aplicación , debe saber si se ha instalado o no el software IDS en su servidor. Si es así, debe saber a quién contactar si genera alertas de que está ocurriendo una intrusión. El IDS debería notificar automáticamente al equipo de seguridad, pero no estaría de más ponerse en contacto con ellos si se da cuenta de una alerta.
Los sistemas de detección de intrusos (IDS) desempeñan un segundo papel crítico en la protección de la infraestructura de TI. La detección de intrusiones implica monitorear el tráfico de la red, detectar intentos de obtener acceso no autorizado a un sistema o recurso, y notificar a las personas apropiadas para que puedan tomarse medidas contrarias. Tener la capacidad de analizar intrusiones y ataques es un poderosa herramienta. Hay cuatro tipos de registros que serían de interés durante una investigación forense ( autenticación , aplicación, sistema operativo y red), pero el IDS se utilizará principalmente con registros de red. Hay muchos buenos sistemas IDS disponibles. Snort es un ejemplo de IDS con amplio soporte de la industria.
(La detección de intrusos en realidad tiene una historia bastante corta. En 1983, la Dra. Dorothy Denning comenzó a desarrollar el trabajo de James Anderson y desarrolló el primer sistema IDS para el gobierno de los Estados Unidos. Estaban interesados en analizar los rastros de auditoría de los sistemas centrales del gobierno para determinar el mal uso.)
¿Qué es un sistema de detección de intrusiones?
Un sistema de detección de intrusos (IDS) es un dispositivo o aplicación de software que monitorea una red en busca de actividad maliciosa o violaciones de políticas. Cualquier actividad maliciosa o violación generalmente se informa o recopila de forma centralizada utilizando un sistema de gestión de eventos e información de seguridad. Algunos IDS son capaces de responder a la intrusión detectada en el descubrimiento. Estos se clasifican como sistemas de prevención de intrusiones (IPS).
Un sistema de detección de intrusos ( IDS ) es un dispositivo o aplicación de software que monitorea una red o sistemas en busca de actividad maliciosa o violaciones de políticas. Cualquier actividad maliciosa o violación generalmente se informa a un administrador o se recopila de forma centralizada mediante un sistema de información de seguridad y gestión de eventos (SIEM). Un sistema SIEM combina salidas de múltiples fuentes y utiliza técnicas de filtrado de alarmas para distinguir la actividad maliciosa de las falsas alarmas.
Los tipos de IDS varían en alcance desde computadoras individuales hasta redes grandes.Las clasificaciones más comunes son los sistemas de detección de intrusos en red ( NIDS ) y los sistemas de detección de intrusos basados en host ( HIDS ). Un sistema que monitorea archivos importantes del sistema operativo es un ejemplo de un HIDS, mientras que un sistema que analiza el tráfico entrante de la red es un ejemplo de un NIDS. También es posible clasificar IDS por enfoque de detección: las variantes más conocidas son la detección basada en firmas (que reconoce patrones incorrectos, como el malware ); y detección basada en anomalías (detección de desviaciones de un modelo de tráfico «bueno», que a menudo depende del aprendizaje automático), otro es la detección basada en la reputación (que reconoce la amenaza potencial de acuerdo con los puntajes de reputación). Algunos productos IDS tienen la capacidad de responder a las intrusiones detectadas. Los sistemas con capacidades de respuesta suelen denominarse sistemas de prevención de intrusiones . Los sistemas de detección de intrusos también pueden servir para propósitos específicos al aumentarlos con herramientas personalizadas, como el uso de un honeypot para atraer y caracterizar el tráfico malicioso.
Categoría de detección de intrusos
Los IDS pueden clasificarse por el lugar donde tiene lugar la detección (red o host ) o el método de detección que se emplea (firma o anomalía).
Actividad analizada
Sistemas de detección de intrusos en la red
Los sistemas de detección de intrusos en la red (NIDS) se colocan en un punto o puntos estratégicos dentro de la red para monitorear el tráfico hacia y desde todos los dispositivos en la red. Realiza un análisis del tráfico que pasa en toda la subred y hace coincidir el tráfico que se pasa en las subredes con la biblioteca de ataques conocidos. Una vez que se identifica un ataque o se detecta un comportamiento anormal, la alerta se puede enviar al administrador. Un ejemplo de un NIDS sería instalarlo en la subred donde se encuentran los firewalls para ver si alguien está tratando de entrar en el firewall. Idealmente, uno escanearía todo el tráfico entrante y saliente, sin embargo, hacerlo podría crear un cuello de botella que perjudicaría la velocidad general de la red. OPNETy NetSim son herramientas de uso común para simular sistemas de detección de intrusos en la red. Los sistemas NID también son capaces de comparar firmas de paquetes similares para vincular y descartar paquetes nocivos detectados que tienen una firma que coincide con los registros en el NIDS. Cuando clasificamos el diseño de los NIDS de acuerdo con la propiedad de interactividad del sistema, hay dos tipos: NIDS en línea y fuera de línea, a menudo denominados en línea y modo de derivación, respectivamente. El NIDS en línea se ocupa de la red en tiempo real. Analiza los paquetes de Ethernet y aplica algunas reglas para decidir si es un ataque o no. El NIDS fuera de línea se ocupa de los datos almacenados y los pasa a través de algunos procesos para decidir si es un ataque o no.
Los NIDS también se pueden combinar con otras tecnologías para aumentar las tasas de detección y predicción. Los IDS basados en redes neuronales artificiales son capaces de analizar grandes volúmenes de datos, de manera inteligente, debido a la estructura auto-organizada que permite que los IDS del INS reconozcan más eficientemente los patrones de intrusión. Las redes neuronales ayudan a los IDS a predecir ataques aprendiendo de los errores; INN IDS ayuda a desarrollar un sistema de alerta temprana, basado en dos capas. La primera capa acepta valores individuales, mientras que la segunda toma la salida de las capas de la primera como entrada; el ciclo se repite y permite que el sistema reconozca automáticamente nuevos patrones imprevistos en la red. Este sistema puede promediar una tasa de detección y clasificación del 99,9%, en función de los resultados de la investigación de 24 ataques a la red, divididos en cuatro categorías: DOS, Sonda, Remoto a Local y usuario a raíz.
Sistemas de detección de intrusos del host
Los sistemas de detección de intrusiones de host (HIDS) se ejecutan en hosts o dispositivos individuales en la red. Un HIDS monitorea los paquetes entrantes y salientes desde el dispositivo solamente y alertará al usuario o administrador si se detecta actividad sospechosa. Toma una instantánea de los archivos del sistema existentes y la compara con la instantánea anterior. Si se modificaron o eliminaron los archivos críticos del sistema, se envía una alerta al administrador para que investigue. Se puede ver un ejemplo del uso de HIDS en máquinas de misión crítica, que no se espera que cambien sus configuraciones.
Método de detección
Basado en firma
Los IDS basados en firmas se refieren a la detección de ataques mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o secuencias de instrucciones maliciosas conocidas utilizadas por malware. Esta terminología se origina en el software antivirus , que se refiere a estos patrones detectados como firmas. Aunque los IDS basados en firmas pueden detectar fácilmente ataques conocidos, es difícil detectar nuevos ataques, para los cuales no hay ningún patrón disponible.
En IDS basados en firmas, las firmas son lanzadas por un proveedor para todos sus productos. La actualización a tiempo de los IDS con la firma es un aspecto clave.
Basado en anomalías
Los sistemas de detección de intrusiones basados en anomalías se introdujeron principalmente para detectar ataques desconocidos, en parte debido al rápido desarrollo de malware. El enfoque básico es utilizar el aprendizaje automático para crear un modelo de actividad confiable y luego comparar un nuevo comportamiento con este modelo. Dado que estos modelos se pueden entrenar de acuerdo con las aplicaciones y las configuraciones de hardware, el método basado en aprendizaje automático tiene una propiedad mejor generalizada en comparación con los IDS tradicionales basados en firmas. Aunque este enfoque permite la detección de ataques previamente desconocidos, puede sufrir falsos positivos.: la actividad legítima previamente desconocida también puede clasificarse como maliciosa. La mayoría de los IDS existentes sufren el lento proceso de detección que degrada el rendimiento de los IDS. El eficiente algoritmo de selección de características hace que el proceso de clasificación utilizado en la detección sea más confiable.
Gartner está viendo los nuevos tipos de lo que se podría llamar sistemas de detección de intrusos basados en anomalías como Análisis de comportamiento de usuario y entidad (UEBA) (una evolución de la categoría de análisis de comportamiento de usuario ) y análisis de tráfico de red (NTA). En particular, NTA trata con información privilegiada maliciosa, así como ataques externos dirigidos que han comprometido una máquina o cuenta de usuario. Gartner ha notado que algunas organizaciones han optado por NTA en lugar de IDS más tradicionales.
Tipos de detección de IDS
Existe una amplia gama de IDS, que van desde software antivirus hasta sistemas de monitoreo escalonados que siguen el tráfico de toda una red. Las clasificaciones más comunes son:
- Sistemas de detección de intrusos en la red (NIDS): un sistema que analiza el tráfico entrante de la red.
- Sistemas de detección de intrusos basados en host (HIDS): un sistema que monitorea archivos importantes del sistema operativo.
También hay un subconjunto de tipos de IDS. Las variantes más comunes se basan en la detección de firmas y la detección de anomalías.
- Basado en firma : el IDS basado en firma detecta posibles amenazas al buscar patrones específicos, como secuencias de bytes en el tráfico de red o secuencias de instrucciones maliciosas conocidas utilizadas por malware. Esta terminología se origina en el software antivirus, que se refiere a estos patrones detectados como firmas. Aunque los IDS basados en firmas pueden detectar fácilmente ataques conocidos, es imposible detectar nuevos ataques, para los cuales no hay ningún patrón disponible.
- Basado en anomalías: una tecnología más nueva diseñada para detectar y adaptarse a ataques desconocidos, principalmente debido a la explosión de malware. Este método de detección utiliza el aprendizaje automático para crear un modelo definido de actividad confiable y luego compara un nuevo comportamiento con este modelo de confianza. Si bien este enfoque permite la detección de ataques previamente desconocidos, puede sufrir falsos positivos: la actividad legítima previamente desconocida puede clasificarse accidentalmente como maliciosa.
Uso de IDS en redes
Cuando se coloca en un punto o puntos estratégicos dentro de una red para monitorear el tráfico hacia y desde todos los dispositivos en la red, un IDS realizará un análisis del tráfico que pasa y hará coincidir el tráfico que se pasa en las subredes con la biblioteca de ataques conocidos. Una vez que se identifica un ataque o se detecta un comportamiento anormal, la alerta se puede enviar al administrador.
Técnicas de evasión
Conocer las técnicas disponibles para los ciberdelincuentes que intentan violar una red segura puede ayudar a los departamentos de TI a comprender cómo los sistemas IDS pueden ser engañados para que no se pierdan las amenazas procesables:
- Fragmentación: el envío de paquetes fragmentados permite al atacante permanecer bajo el radar, evitando la capacidad del sistema de detección para detectar la firma del ataque.
- Evitar valores predeterminados: un puerto utilizado por un protocolo no siempre proporciona una indicación del protocolo que se está transportando. Si un atacante lo había reconfigurado para usar un puerto diferente, es posible que el IDS no pueda detectar la presencia de un troyano.
- Ataques coordinados de bajo ancho de banda: coordinan un escaneo entre numerosos atacantes, o incluso asignan varios puertos o hosts a diferentes atacantes. Esto dificulta que el IDS correlacione los paquetes capturados y deduzca que hay una exploración de red en curso.
- Falsificación / representación de direcciones: los atacantes pueden ocultar la fuente del ataque utilizando servidores proxy mal protegidos o configurados incorrectamente para rechazar un ataque. Si la fuente es falsificada y devuelta por un servidor, hace que sea muy difícil de detectar.
- Evasión de cambio de patrón: los IDS dependen de la coincidencia de patrones para detectar ataques. Al hacer un ligero ajuste a la arquitectura de ataque, se puede evitar la detección.
Por qué los sistemas de detección de intrusiones son importantes
Los entornos empresariales en red modernos requieren un alto nivel de seguridad para garantizar una comunicación de información segura y confiable entre varias organizaciones. Un sistema de detección de intrusos actúa como una tecnología de protección adaptable para la seguridad del sistema después de que fallan las tecnologías tradicionales. Los ataques cibernéticos solo se volverán más sofisticados, por lo que es importante que las tecnologías de protección se adapten junto con sus amenazas.
Leer también: ¿Qué es un Centro de Operaciones de Seguridad (SOC)? Mejores prácticas, beneficios y marco
This post is also available in:
Español
