Resumen
Los sistemas de detección y prevención de intrusos (IDPS) son soluciones que supervisan las redes en busca de posibles amenazas y, una vez que las detectan, toman las medidas necesarias para detenerlas.
Están estrechamente relacionados con los sistemas de detección de intrusos (IDS). Si bien ambos sistemas detectan amenazas y envían alertas al respecto, los IDPS, además, intentan abordarlas.
En ocasiones, se los denomina sistemas de prevención de intrusos (IPS). Los términos IDPS e IPS suelen emplearse como sinónimos, pero cuando se habla de IPS, se suele hacer referencia a sus funciones de detección y abordaje de las amenazas.
Funcionamiento de los IDPS
Los IDPS funcionan de distintas maneras según el proveedor, el método de implementación elegido y las necesidades de la empresa que los utiliza.
Tipos de IDPS
IDPS basado en la red
Los IDPS basados en la red (NIPS) se instalan en determinados puntos de una red para supervisar todo el tráfico y buscar posibles amenazas. Por lo general, analizan la actividad y la comparan con una base de datos de ataques conocidos que un especialista en seguridad configura de forma manual. Si la actividad coincide con una amenaza conocida y registrada en la base de datos, se impide que circule por la red. Los NIPS suelen implementarse en los límites de las redes, como los enrutadores o los módems, detrás de los firewalls y en los puntos de acceso remoto a la red.
Hay dos subcategorías de NIPS:
- Los sistemas inalámbricos de prevención de intrusos (WIPS) supervisan las redes inalámbricas para detectar la presencia de puntos de acceso no autorizados y dispositivos no reconocidos. Para ello, analizan las radiofrecuencias de la red. Los WIPS se implementan en las redes inalámbricas y los sitios expuestos a accesos inalámbricos no autorizados.
- Los sistemas de análisis del comportamiento de la red (NBA) controlan el tráfico de la red en busca de patrones inusuales de actividad. Por ejemplo, en los ataques distribuidos de denegación de servicio (DDOS), se envían miles de solicitudes a la red con la finalidad de colapsarla. Aunque cada una de ellas pueda parecer válida por sí sola, juntas ponen de manifiesto un problema. En las redes internas de una empresa, los sistemas de NBA suelen utilizarse para reforzar un NIPS estándar.
IDPS basado en hosts
El IDPS basado en hosts (HIPS) se implementa en un único host, que suele ser un servidor clave con datos esenciales, o en servidores públicos que son puertas de enlace a la red interna de una empresa. Supervisan específicamente el flujo de tráfico en su sistema host, y suelen configurarse para detectar la actividad del sistema operativo del host y la actividad del conjunto de protocolos de Internet (TCP/IP).
Métodos de detección
Una vez instalados, los IDPS emplean diversas técnicas, las cuales se dividen en tres categorías, para identificar las amenazas:
- La detección de amenazas basada en firmas compara la actividad supervisada con una base de datos repleta de firmas (es decir, un patrón o identificador único) de amenazas ya identificadas. Si bien este método es ideal para detectar amenazas conocidas, las nuevas pasarán desapercibidas.
- La detección de amenazas basada en anomalías compara una selección aleatoria de la actividad de la red con un estándar de referencia de dicha actividad. Si la selección aleatoria difiere lo suficiente del patrón de referencia, se desencadena una acción. Aunque este método permite identificar amenazas nuevas, también genera una mayor cantidad de falsos positivos en comparación con la detección basada en firmas. Dentro de los IDPS, este método es el que más resulta beneficiado gracias a los avances de la inteligencia artificial y los algoritmos de aprendizaje automático.
- La detección de amenazas basada en protocolos (o en políticas) es similar a la de firmas, pero se sirve de una base de datos de protocolos específicos definidos por la empresa y bloquea toda actividad que los infrinja. Se necesita que un especialista en seguridad configure los protocolos de forma manual.
Acciones preventivas
Una vez que el IDPS detecta una amenaza, puede tomar varias medidas que dependerán de su configuración y del tipo de amenaza detectada. Estas son las acciones preventivas más comunes contra los ataques:
- Alertar a los administradores. Es el tipo de respuesta básica. El IDPS alerta a los administradores de seguridad, al igual que lo haría un sistema de detección de intrusos. Estas alertas se crean cuando una acción automática podría no ser adecuada, o cuando el sistema no tiene la seguridad de que se trata de un falso positivo.
- Aplicar la vigilancia de bloqueo. Cuando el IDPS lleva a cabo esta acción, detiene los incidentes antes de que puedan producirse, ya que bloquea el tráfico o los usuarios señalados provenientes de una dirección IP que represente una amenaza. Un ejemplo común es el bloqueo de una dirección IP que tenga demasiados intentos fallidos de verificación de contraseña.
- Cambiar el entorno de seguridad. Al igual que la vigilancia de bloqueo, esta técnica hace que el IDPS cambie la configuración de seguridad de la red para evitar una amenaza. Un ejemplo de esta respuesta sería la modificación de la configuración de un firewall.
- Modificar el contenido del ataque. Esta técnica consiste en alterar el contenido del ataque de forma automática. Por ejemplo, si un correo electrónico se marca como sospechoso, el IDPS elimina todos aquellos aspectos que puedan incluir contenido malicioso para la red, como los archivos adjuntos.
Ventajas de los IDPS
Los IDPS pueden ser herramientas eficaces para los equipos de seguridad y para la empresa en general. Con ellos podrá:
- Analizar la actividad y responder a las amenazas sin intervención humana. Aunque para responder a las amenazas complejas a menudo se necesita de la intervención humana, los IDPS pueden abordar las más sencillas de forma metódica y rápida, y señalar con mayor celeridad las más complejas para que intervengan los especialistas encargados de esta tarea. De este modo, los equipos de seguridad pueden no solo responder a las amenazas antes de que provoquen algún daño, sino también abordar una cantidad cada vez mayor.
- Detectar amenazas que podrían pasar desapercibidas. Los IDPS, en especial los que utilizan la detección basada en anomalías, pueden detectar amenazas que los especialistas en seguridad podrían pasar por alto.
- Aplicar constantemente las políticas sobre la seguridad y los usuarios. Dado que el IDPS se basa en reglas, la detección de amenazas se aplica de manera uniforme.
- Cumplir los requisitos normativos. Al utilizar un IDPS, disminuye la cantidad de personas que interactúan con los datos privados, lo que constituye un requisito normativo en varios sectores.
Red Hat le ofrece una solución
Red Hat® Ansible® Automation Platform utiliza playbooks, servicios de directorio locales, registros consolidados y aplicaciones externas para automatizar las soluciones de defensa y permitir que los equipos de seguridad de la TI respondan a las amenazas de manera coordinada y unificada.
Los equipos de seguridad pueden utilizar Ansible Automation Platform para coordinar varias soluciones de seguridad empresarial diferentes, como los firewalls empresariales, los sistemas de gestión de la información y los eventos de seguridad (SIEM), los IDPS y las soluciones de gestión de acceso privilegiado (PAM), y conectarlas en un sistema de seguridad unificado.
Motivos para utilizar Ansible Automation Platform con un IDS o IDPS
Ansible Automation Platform ayuda a las empresas a automatizar sus soluciones de seguridad, ya que actúa como eje central para la integración de diversas tecnologías relacionadas con la seguridad. Mediante los playbooks de Ansible, la plataforma permite que una herramienta de seguridad lea automáticamente los resultados de otra. La interacción entre varias herramientas de seguridad es un elemento esencial de la detección de amenazas y, por lo tanto, una función central de los IDPS. Gracias a Ansible Automation Platform, las empresas pueden:
- Implementar las nuevas reglas del IDPS de manera dinámica y flexible, y automatizar su configuración con su SIEM correspondiente.
- Facilitar la gestión de las firmas, lo cual permite la integración de las actualizaciones automáticas con un IDPS mediante el uso de firmas obtenidas de boletines de seguridad.
- Establecer una relación entre las búsquedas y la automatización de los eventos dentro de los sistemas SIEM. De este modo, los analistas pueden generar nuevas alertas en función de las acciones o los cambios realizados en otros dispositivos de seguridad.
Ansible Automation Platform puede conectar las soluciones de seguridad con el resto de la infraestructura y la red de su empresa. Esto implica que las distintas soluciones pueden automatizarse e integrarse para responder a las amenazas en toda la empresa de forma coordinada y unificada, mediante un conjunto seleccionado de módulos, funciones y playbooks.
Los equipos de su empresa también pueden aprovechar los conjuntos de contenido de confianza, que cuentan con la certificación de Red Hat y de nuestros partners. Gracias a que Ansible Automation Platform tiene acceso a cientos de módulos que permiten que los usuarios automaticen todos los aspectos de los procesos de gestión y los entornos de TI, los equipos de seguridad pueden trabajar juntos para proteger mejor los perímetros complejos de seguridad.