La principal diferencia entre los sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusos (IPS) es que los IDS son sistemas de monitorización y los IPS son sistemas de control. Los IDS no alteran el tráfico de la red mientras que los IPS impiden la entrega de paquetes basándose en el contenido del paquete, de forma similar a como un cortafuegos impide el tráfico por la dirección IP.
Los IDS se utilizan para supervisar las redes y enviar alertas cuando se detecta actividad sospechosa en un sistema o red, mientras que un IPS reacciona a los ciberataques en tiempo real con el objetivo de evitar que lleguen a los sistemas y redes objetivo.
En resumen, los IDS y los IPS tienen la capacidad de detectar firmas de ataque, siendo la principal diferencia su respuesta al ataque. Sin embargo, es importante tener en cuenta que tanto los IDS como los IPS pueden implementar los mismos métodos de monitorización y detección.
En este artículo, describimos las características de una intrusión, los diversos vectores de ataque que los ciberdelincuentes pueden utilizar para comprometer la seguridad de la red, la definición de IDS/IPS y cómo pueden proteger su red y mejorar la ciberseguridad.
- ¿Qué es una intrusión en la red?
- ¿Qué es un sistema de detección de intrusos (IDS)?
- ¿Cómo funciona un sistema de detección de intrusiones (IDS)?
- ¿Cuáles son los diferentes tipos de sistemas de detección de intrusos (IDS)?
- ¿Qué es un sistema de prevención de intrusiones (IPS)?
- ¿Cómo funciona un sistema de prevención de intrusiones (IPS)?
- ¿Cuáles son los diferentes tipos de sistemas de prevención de intrusiones (IPS)?
- ¿Cuáles son las limitaciones de los sistemas de detección de intrusos (IDS) y de los sistemas de prevención de intrusos (IPS)?
- ¿Cuáles son las diferencias entre los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS)?
- ¿Pueden trabajar juntos los IDS y los IPS?
- ¿En qué se diferencian los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) de los cortafuegos?
- ¿Por qué son importantes los IDS y los IPS?
- Cómo puede UpGuard complementar la tecnología IDS e IPS
¿Qué es una intrusión en la red?
Una intrusión en la red es cualquier actividad no autorizada en una red informática. La detección de una intrusión depende de tener un claro conocimiento de la actividad de la red y de las amenazas de seguridad más comunes. Un sistema de detección de intrusiones en la red y un sistema de prevención de intrusiones en la red correctamente diseñados e implementados pueden ayudar a bloquear a los intrusos que pretenden robar datos confidenciales, causar violaciones de datos e instalar malware.
Las redes y los puntos finales pueden ser vulnerables a las intrusiones de los actores de las amenazas que pueden estar ubicados en cualquier parte del mundo y buscan explotar su superficie de ataque.
Las vulnerabilidades comunes de la red incluyen:
- Malware: El malware, o software malicioso, es cualquier programa o archivo que es perjudicial para un usuario de la computadora. Los tipos de malware incluyen virus informáticos, gusanos, troyanos, spyware, adware y ransomware. Lea nuestro post completo sobre el malware aquí.
- Ataques de ingeniería social: La ingeniería social es un vector de ataque que explota la psicología y la susceptibilidad humana para manipular a las víctimas para que divulguen información confidencial y datos sensibles o realicen una acción que rompa las normas de seguridad habituales. Entre los ejemplos más comunes de ingeniería social se encuentran los ataques de phishing, spear phishing y whaling. Lea nuestro post completo sobre ingeniería social aquí.
- Software y hardware desactualizados o sin parches: El software y el hardware desactualizados o sin parches pueden tener vulnerabilidades conocidas como las que aparecen en el CVE. Una vulnerabilidad es una debilidad que puede ser explotada por un ciberataque para obtener acceso no autorizado o realizar acciones no autorizadas en un sistema informático. Las vulnerabilidades con forma de gusano, como la que provocó el WannaCryransomware, son de especial riesgo. Lee nuestro post completo sobre vulnerabilidades para más información.
- Dispositivos de almacenamiento de datos: Los dispositivos de almacenamiento portátiles como los USB y los discos duros externos pueden introducir malware en tu red.
¿Qué es un sistema de detección de intrusos (IDS)?
Un sistema de detección de intrusos (IDS) es un dispositivo o aplicación de software que supervisa una red o un sistema en busca de actividad maliciosa y violaciones de las políticas. Cualquier tráfico malicioso o violación es típicamente reportado a un administrador o recolectado centralmente usando un sistema de gestión de eventos e información de seguridad (SIEM).
¿Cómo funciona un sistema de detección de intrusiones (IDS)?
Hay tres variantes de detección comunes que los IDS emplean para supervisar las intrusiones:
- Detección basada en firmas: Detecta los ataques buscando patrones específicos, como secuencias de bytes en el tráfico de red o utiliza firmas (secuencias de instrucciones maliciosas conocidas) utilizadas por el malware. Esta terminología tiene su origen en el software antivirus, que se refiere a estos patrones como firmas. Mientras que los IDS basados en firmas pueden detectar fácilmente los ciberataques conocidos, tienen dificultades para detectar los nuevos ataques cuando no se dispone de un patrón.
- Detección basada en anomalías: Un sistema de detección de intrusos para detectar tanto intrusiones en la red como en los ordenadores y usos indebidos mediante la supervisión de la actividad del sistema y su clasificación como normal o anómala. Este tipo de sistema de seguridad se desarrolló para detectar ataques desconocidos, en parte debido al rápido desarrollo del malware. El enfoque básico consiste en utilizar el aprendizaje automático para crear un modelo de actividad fiable y comparar el nuevo comportamiento con el modelo. Dado que estos modelos pueden entrenarse en función de configuraciones específicas de aplicaciones y hardware, tienen propiedades más generalizadas en comparación con los IDS tradicionales basados en firmas. Sin embargo, también sufren de más falsos positivos.
- Detección basada en la reputación: Reconoce las posibles ciberamenazas según las puntuaciones de reputación.
¿Cuáles son los diferentes tipos de sistemas de detección de intrusos (IDS)?
Los sistemas IDS pueden tener un alcance que va desde un solo ordenador hasta grandes redes y se suelen clasificar en dos tipos:
- Sistema de detección de intrusos en red (NIDS): Un sistema que analiza el tráfico de red entrante. Los NIDS se colocan en puntos estratégicos dentro de las redes para supervisar el tráfico hacia y desde los dispositivos. Realiza un análisis del tráfico que pasa en toda la subred y compara el tráfico que pasa en las subredes con una biblioteca de ataques conocidos. Cuando se identifica un ataque, se puede enviar una alerta a un administrador.
- Sistema de detección de intrusiones basado en el host (HIDS): Un sistema que ejecuta y supervisa archivos importantes del sistema operativo en hosts o dispositivos individuales. Un HIDS supervisa los paquetes de entrada y salida del dispositivo y alerta al usuario o al administrador si se detecta actividad sospechosa. Toma una instantánea de los archivos del sistema existentes y los compara con las instantáneas anteriores si los archivos críticos han sido modificados o eliminados se lanza una alerta.
¿Qué es un sistema de prevención de intrusiones (IPS)?
Un sistema de prevención de intrusiones (IPS) o sistemas de detección y prevención de intrusiones (IDPS) son aplicaciones de seguridad de red que se centran en la identificación de posibles actividades maliciosas, el registro de información, la notificación de intentos y el intento de prevenirlas. Los sistemas IPS suelen situarse directamente detrás del cortafuegos.
Además, las soluciones IPS pueden utilizarse para identificar problemas con las estrategias de seguridad, documentar las amenazas existentes y disuadir a los individuos de violar las políticas de seguridad.
Para detener los ataques, un IPS puede cambiar el entorno de seguridad, reconfigurando un cortafuegos, o cambiando el contenido del ataque.
Muchos consideran los sistemas de prevención de intrusiones como extensiones de los sistemas de detección de intrusiones, ya que ambos supervisan el tráfico de la red y/o las actividades del sistema en busca de actividades maliciosas.
¿Cómo funciona un sistema de prevención de intrusiones (IPS)?
Los sistemas de prevención de intrusiones (IPS) funcionan escaneando todo el tráfico de la red mediante uno o varios de los siguientes métodos de detección:
- Detección basada en firmas: Los IPS basados en firmas supervisan los paquetes de una red y los comparan con patrones de ataque preconfigurados y predeterminados conocidos como firmas.
- Detección estadística basada en anomalías: Un IPS que se basa en anomalías supervisa el tráfico de la red y lo compara con una línea de base establecida. Esta línea de base se utiliza para identificar lo que es «normal» en una red, por ejemplo, cuánto ancho de banda se utiliza y qué protocolos se utilizan. Aunque este tipo de detección de anomalías es bueno para identificar nuevas amenazas, también puede generar falsos positivos cuando los usos legítimos del ancho de banda superan una línea de base o cuando las líneas de base están mal configuradas.
- Detección de análisis de protocolos de estado: Este método identifica las desviaciones en los estados del protocolo comparando los eventos observados con perfiles predeterminados de definiciones generalmente aceptadas de actividad benigna.
Una vez detectado, un IPS realiza una inspección de paquetes en tiempo real en cada paquete que viaja a través de la red y si se considera sospechoso, el IPS realizará una de las siguientes acciones:
- Termina la sesión TCP que ha sido explotada
- Bloquea la dirección IP o la cuenta de usuario infractora para que no pueda acceder a ninguna aplicación, host o recurso de red
- Reprograma o reconfigura el cortafuegos para evitar que se produzca un ataque similar en una fecha posterior
- Elimina o sustituye el contenido malicioso que queda después de un ataque reempaquetando la carga útil, eliminando la información de la cabecera o destruyendo los archivos infectados
Cuando se implementa correctamente, esto permite que un IPS evite daños graves causados por paquetes maliciosos o no deseados y una serie de otras amenazas cibernéticas que incluyen:
- Denegación de servicio distribuida (DDOS)
- Explotación
- Gusanos informáticos
- Virus
- Ataques de fuerza bruta
¿Cuáles son los diferentes tipos de sistemas de prevención de intrusiones (IPS)?
Los sistemas de prevención de intrusiones se clasifican generalmente en cuatro tipos:
- Sistema de prevención de intrusiones basado en la red (NIPS): Los NIPS detectan y previenen la actividad maliciosa o sospechosa mediante el análisis de paquetes en toda la red. Una vez instalados, los NIPS recopilan información del host y de la red para identificar los hosts, aplicaciones y sistemas operativos permitidos en la red. También registran información sobre el tráfico normal para identificar los cambios respecto a la línea de base. Pueden prevenir los ataques enviando una conexión TCP, limitando el uso del ancho de banda o rechazando paquetes. Aunque son útiles, normalmente no pueden analizar el tráfico de red encriptado, manejar altas cargas de tráfico o manejar ataques directos contra ellos.
- Sistema de prevención de intrusiones inalámbricas (WIPS): Los WIPS supervisan el espectro radioeléctrico para detectar la presencia de puntos de acceso no autorizados y adoptan automáticamente contramedidas para eliminarlos. Estos sistemas suelen implementarse como una superposición a una infraestructura de LAN inalámbrica existente, aunque pueden desplegarse de forma independiente para hacer cumplir las políticas de no inalámbricos dentro de una organización. Algunas infraestructuras inalámbricas avanzadas cuentan con capacidades WIPS integradas. Los siguientes tipos de amenazas pueden ser prevenidos por un buen WIPS: puntos de acceso falsos, puntos de acceso mal configurados, ataques man-in-the-middle, MAC spoofing, honeypot y ataques de denegación de servicio.
- Análisis del comportamiento de la red (NBA): Este tipo de sistema de prevención de intrusiones se basa en la detección de anomalías y busca desviaciones de lo que se considera un comportamiento normal en un sistema o red. Esto significa que requiere un periodo de entrenamiento para perfilar lo que se considera normal. Una vez finalizado el periodo de entrenamiento, las incoherencias se marcan como maliciosas. Si bien esto es bueno para detectar nuevas amenazas, pueden surgir problemas si la red fue comprometida durante el período de entrenamiento, ya que el comportamiento malicioso puede ser considerado normal. Además, estas herramientas de seguridad pueden producir falsos positivos.
- Sistema de prevención de intrusiones basado en el host (HIPS): Un sistema o programa empleado para proteger los sistemas informáticos críticos. Los HIPS analizan la actividad en un solo host para detectar y prevenir la actividad maliciosa, principalmente mediante el análisis del comportamiento del código. Suelen ser elogiados por ser capaces de prevenir los ataques que utilizan el cifrado. Los HIPS también pueden utilizarse para evitar que se extraiga del host información sensible como la información personal identificable (PII) o la información sanitaria protegida (PHI). Dado que los HIPS viven en una sola máquina, se utilizan mejor junto con los IDS e IPS basados en la red, así como con los IPS.
¿Cuáles son las limitaciones de los sistemas de detección de intrusos (IDS) y de los sistemas de prevención de intrusos (IPS)?
Las limitaciones de los IDS e IPS incluyen:
- Ruido: Los paquetes defectuosos generados por los bugs, los datos DNS corruptos y los paquetes locales que se escapan pueden limitar la eficacia de los sistemas de detección de intrusos y causar una alta tasa de falsas alarmas.
- Falsos positivos: No es raro que el número de ataques reales se vea empequeñecido por el número de falsas alarmas. Esto puede hacer que se pasen por alto o se ignoren los ataques reales.
- Bases de datos de firmas desactualizadas: Muchos ataques explotan vulnerabilidades conocidas, lo que significa que la biblioteca de firmas debe mantenerse actualizada para ser eficaz. Las bases de datos de firmas desactualizadas pueden dejarlo vulnerable a nuevas estrategias.
- El retraso entre la detección y la aplicación: Para la detección basada en firmas, puede haber un desfase entre el descubrimiento de un nuevo tipo de ataque y la adición de la firma a la base de datos de firmas. Durante este tiempo, el IDS no será capaz de identificar el ataque.
- Protección limitada ante una identificación o autenticación débil: Si un atacante obtiene acceso debido a una seguridad deficiente de las contraseñas, entonces un IDS puede no ser capaz de prevenir al adversario de cualquier mala práctica.
- Falta de procesamiento de paquetes encriptados: La mayoría de los IDS no procesan los paquetes cifrados, lo que significa que pueden ser utilizados para la intrusión en una red y pueden no ser descubiertos.
- Dependencia del atributo IP: Muchos IDS proporcionan información basada en la dirección de red que se asocia con el paquete IP enviado a la red. Esto es beneficioso si el paquete IP es preciso, pero puede ser falsificado o codificado. Consulte nuestro post sobre las limitaciones de la atribución de IP para obtener más información.
- Susceptibles a los mismos ataques basados en protocolos contra los que están diseñados para proteger: Debido a la naturaleza de los NIDS y la necesidad de analizar los protocolos que capturan pueden ser vulnerables a ciertos tipos de ataques. Por ejemplo, los datos no válidos y los ataques a la pila TCP/IP pueden hacer que los NIDS se bloqueen.
¿Cuáles son las diferencias entre los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS)?
La principal diferencia es que un IDS es un sistema de monitorización y un IPS es un sistema de control. Tanto los IDS como los IPS leen los paquetes de red y comparan su contenido con una base de datos de amenazas conocidas o de actividad de referencia. Sin embargo, los IDS no alteran los paquetes de red, mientras que los IPS pueden impedir la entrega de paquetes basándose en su contenido, de forma similar a lo que hace un cortafuegos con una dirección IP:
- Sistemas de detección de intrusiones (IDS): Analizan y monitorizan el tráfico en busca de indicadores de compromiso que puedan indicar una intrusión o un robo de datos. Los IDS comparan la actividad actual de la red con las amenazas conocidas, las violaciones de las políticas de seguridad y el escaneo de puertos abiertos. Los IDS requieren que los seres humanos u otro sistema examinen los resultados y determinen cómo responder, por lo que son mejores como herramientas forenses digitales post-mortem. Además, los IDS no están en línea, por lo que el tráfico no tiene que fluir a través de ellos.
- Sistemas de prevención de intrusiones (IPS): Los IPS también tienen capacidades de detección, pero denegarán proactivamente el tráfico de red si creen que representa una amenaza de seguridad conocida.
¿Pueden trabajar juntos los IDS y los IPS?
Sí, los IDS y los IPS trabajan juntos. Muchos proveedores modernos combinan IDS e IPS con cortafuegos. Este tipo de tecnología se denomina cortafuegos de nueva generación (NGFW) o gestión unificada de amenazas (UTM).
¿En qué se diferencian los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) de los cortafuegos?
Los cortafuegos de red tradicionales utilizan un conjunto de reglas estáticas para permitir o denegar las conexiones de red. Esto puede evitar las intrusiones, suponiendo que se hayan definido las reglas adecuadas. Esencialmente, los cortafuegos están diseñados para limitar el acceso entre redes para evitar intrusiones, pero no impiden los ataques desde dentro de una red.
LosIDS y los IPS envían alertas cuando sospechan de una intrusión y también supervisan los ataques desde dentro de una red. Tenga en cuenta que los firewalls de nueva generación generalmente combinan la tecnología de firewall tradicional con la inspección profunda de paquetes, IDS e IPS.
¿Por qué son importantes los IDS y los IPS?
Los equipos de seguridad se enfrentan a una lista cada vez mayor de preocupaciones de seguridad, desde ramas de datos y fugas de datos hasta multas de cumplimiento, al tiempo que se ven limitados por los presupuestos y las políticas corporativas. La tecnología IDS e IPS puede ayudar a cubrir partes específicas e importantes de su programa de gestión de la seguridad:
- Automatización: Una vez configurados, los IDS e IPS generalmente no requieren intervención, lo que significa que son una gran manera de mejorar la seguridad de la red sin necesidad de personal adicional.
- Cumplimiento: Muchas regulaciones requieren que usted demuestre que ha invertido en tecnología para proteger los datos sensibles. La implementación de un IDS o IPS puede ayudarle a abordar una serie de controles de CIS. Y lo que es más importante, pueden ayudar a proteger sus datos más sensibles y los de sus clientes y mejorar la seguridad de los datos.
- Aplicación de políticas: Los IDS e IPS son configurables para ayudarle a hacer cumplir sus políticas de seguridad de la información a nivel de red. Por ejemplo, si solo admite un sistema operativo, puede utilizar un IPS para bloquear el tráfico procedente de otros.
Cómo puede UpGuard complementar la tecnología IDS e IPS
Empresas como Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar y la NASA utilizan las calificaciones de seguridad de UpGuard para proteger sus datos, prevenir las violaciones de datos y evaluar sus operaciones de seguridad.
Para la evaluación de sus controles de seguridad de la información, UpGuard BreachSight puede supervisar su organización para más de 70 controles de seguridad proporcionando una calificación de seguridad cibernética simple y fácil de entender y detectar automáticamente las credenciales filtradas y las exposiciones de datos en cubos S3, servidores Rsync, repos de GitHub, y más.
UpGuard Vendor Risk puede minimizar la cantidad de tiempo que su organización dedica a evaluar los controles de seguridad de la información relacionados y de terceros mediante la automatización de los cuestionarios de proveedores y la provisión de plantillas de cuestionarios de proveedores.
También podemos ayudarle a comparar instantáneamente a sus proveedores actuales y potenciales con su industria, para que pueda ver cómo se apilan.
La principal diferencia entre UpGuard y otros proveedores de calificaciones de seguridad es que hay pruebas muy públicas de nuestra experiencia en la prevención de violaciones y fugas de datos.
Nuestra experiencia ha aparecido en medios como The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters y TechCrunch.
Puede leer más sobre lo que dicen nuestros clientes en las reseñas de Gartner.
Si desea ver la calificación de seguridad de su organización, haga clic aquí para solicitar su calificación de seguridad cibernética gratuita.
Obtenga una prueba gratuita de 7 días de la plataforma UpGuard hoy mismo.