¿Qué es un IDS?

Hay mucho malware flotando en Internet. Afortunadamente, hay muchas medidas de protección disponibles. Algunos de ellos, como los productos antivirus, están diseñados para ejecutarse por dispositivo y son ideales para personas con una pequeña cantidad de dispositivos. El software antivirus también es útil en redes de grandes empresas. Sin embargo, uno de los problemas allí es simplemente la cantidad de dispositivos que luego tienen un software antivirus en ejecución que solo informa sobre la máquina. Una red empresarial realmente quiere tener informes de incidentes de antivirus para ser centralizados. Lo que es una ventaja para los usuarios domésticos es una debilidad para las redes empresariales.

Más allá de los antivirus

Para llevar las cosas más lejos se necesita un enfoque diferente. Este enfoque se conoce como IDS o Sistema de detección de intrusos. Hay muchas variaciones diferentes en el IDS, muchas de las cuales pueden complementarse entre sí. Por ejemplo, se puede encargar a un IDS que supervise un dispositivo o el tráfico de la red. Un dispositivo que supervisa el IDS se conoce como HIDS o sistema de detección de intrusos basado en host. Un IDS de monitoreo de red se conoce como NIDS o Sistema de detección de intrusos en la red. Un HIDS es similar a un paquete de antivirus, monitorea un dispositivo e informa a un sistema centralizado.

Un NIDS generalmente se coloca en un área de alto tráfico de la red. A menudo, esto será en una red central/enrutador troncal o en el límite de la red y su conexión a Internet. Un NIDS se puede configurar para estar en línea o en una configuración de derivación. Un NIDS en línea puede filtrar activamente el tráfico en función de las detecciones como un IPS (una faceta a la que volveremos más adelante); sin embargo, actúa como un único punto de falla. Una configuración de derivación básicamente refleja todo el tráfico de red en el NIDS. Entonces puede realizar sus funciones de monitoreo sin actuar como un único punto de falla.

Métodos de monitoreo

Un IDS normalmente utiliza una variedad de métodos de detección. El enfoque clásico es exactamente lo que se usa en los productos antivirus; Detección basada en firmas. En esto, el IDS compara el software observado o el tráfico de red con una gran variedad de firmas de malware conocido y tráfico de red malicioso. Esta es una forma bien conocida y generalmente bastante efectiva de contrarrestar amenazas conocidas. Sin embargo, el monitoreo basado en firmas no es una panacea. El problema con las firmas es que primero debe detectar el malware para luego agregar su firma a la lista de comparación. Esto lo hace inútil para detectar nuevos ataques y vulnerable a las variaciones de las técnicas existentes.

El principal método alternativo que utiliza un IDS para la identificación es el comportamiento anómalo. La detección basada en anomalías toma una línea de base del uso estándar y luego informa sobre la actividad inusual. Esta puede ser una herramienta poderosa. Incluso puede resaltar un riesgo de una posible amenaza interna deshonesta. El principal problema con esto es que debe ajustarse al comportamiento de referencia de cada sistema, lo que significa que debe ser entrenado. Esto significa que si el sistema ya está comprometido mientras se entrena el IDS, no verá la actividad maliciosa como inusual.

Un campo en desarrollo es el uso de redes neuronales artificiales para realizar el proceso de detección basado en anomalías. Este campo es prometedor, pero todavía es bastante nuevo y probablemente enfrenta desafíos similares a las versiones más clásicas de detección basada en anomalías.

Centralización: ¿una maldición o una bendición?

Una de las características clave de un IDS es la centralización. Permite que un equipo de seguridad de la red recopile actualizaciones de estado de dispositivos y redes en vivo. Esto incluye mucha información, la mayor parte de la cual es "todo está bien". Para minimizar las posibilidades de falsos negativos, es decir, actividad maliciosa perdida, la mayoría de los sistemas IDS están configurados para ser muy "nerviosos". Incluso se informa el más mínimo indicio de que algo está mal. A menudo, este informe tiene que ser evaluado por un ser humano. Si hay muchos falsos positivos, el equipo responsable puede verse abrumado rápidamente y sufrir agotamiento. Para evitar esto, se pueden introducir filtros para reducir la sensibilidad del IDS, pero esto aumenta el riesgo de falsos negativos. Además,

Centralizar el sistema también implica a menudo agregar un sistema SIEM complejo. SIEM significa Sistema de gestión de eventos e información de seguridad. Por lo general, involucra una serie de agentes de recopilación en la red que recopilan informes de dispositivos cercanos. Estos agentes de cobro envían los informes al sistema de gestión central. La introducción de un SIEM aumenta la superficie de amenazas de la red. Los sistemas de seguridad a menudo están bastante bien protegidos, pero esto no es una garantía, y ellos mismos pueden ser vulnerables a la infección por malware que luego evita que se informe. Esto, sin embargo, siempre es un riesgo para cualquier sistema de seguridad.

Automatización de respuestas con un IPS

Un IDS es básicamente un sistema de alerta. Busca actividad maliciosa y luego envía alertas al equipo de monitoreo. Esto significa que todo lo supervisa un ser humano, pero esto conlleva el riesgo de retrasos, especialmente en el caso de una explosión de actividad. Por ejemplo. Imagínese si un gusano ransomware logra ingresar a la red. Es posible que los revisores humanos tarden un tiempo en identificar una alerta de IDS como legítima, momento en el que es posible que el gusano se haya propagado aún más.

Un IDS que automatiza el proceso de actuar sobre alertas de alta certeza se denomina IPS o IDPS con la "P" que significa "Protección". Un IPS toma medidas automatizadas para tratar de minimizar el riesgo. Por supuesto, con la alta tasa de falsos positivos de un IDS, no desea que un IPS actúe en cada alerta, solo en las que se considera que tienen una alta certeza.

En un HIDS, un IPS actúa como una función de cuarentena de software antivirus. Bloquea automáticamente el malware sospechoso y alerta al equipo de seguridad para analizar el incidente. En un NIDS, un IPS debe estar en línea. Esto significa que todo el tráfico debe pasar por el IPS, lo que lo convierte en un único punto de falla. Sin embargo, a la inversa, puede eliminar o eliminar activamente el tráfico de red sospechoso y alertar al equipo de seguridad para que revise el incidente.

La ventaja clave de un IPS sobre un IDS puro es que puede responder automáticamente a muchas amenazas mucho más rápido de lo que podría lograrse solo con la revisión humana. Esto le permite evitar cosas como eventos de exfiltración de datos a medida que ocurren, en lugar de simplemente identificar que sucedió después del hecho.

Limitaciones

Un IDS tiene varias limitaciones. La funcionalidad de detección basada en firmas depende de firmas actualizadas, lo que la hace menos efectiva para detectar malware novedoso potencialmente más peligroso. La tasa de falsos positivos generalmente es muy alta y puede haber largos períodos de tiempo entre problemas legítimos. Esto puede llevar a que el equipo de seguridad se desensibilice y se desanime por las alarmas. Esta actitud aumenta el riesgo de que clasifiquen erróneamente un verdadero positivo raro como un falso positivo.

Las herramientas de análisis de tráfico de red suelen utilizar bibliotecas estándar para analizar el tráfico de red. Si el tráfico es malicioso y explota una falla en la biblioteca, es posible que se infecte el propio sistema IDS. Los NIDS en línea actúan como puntos únicos de falla. Necesitan analizar un gran volumen de tráfico muy rápidamente y, si no pueden seguir el ritmo, deben descartarlo, lo que provoca problemas de rendimiento/estabilidad, o dejarlo pasar, lo que podría pasar por alto la actividad maliciosa.

Entrenar un sistema basado en anomalías requiere que la red sea segura en primer lugar. Si ya hay malware comunicándose en la red, esto se incluirá normalmente en la línea de base y se ignorará. Además, la línea de base puede expandirse lentamente por un actor malicioso simplemente tomándose su tiempo para empujar los límites, estirarlos en lugar de romperlos. Finalmente, un IDS no puede por sí solo analizar el tráfico encriptado. Para poder hacer esto, la empresa necesitaría Man in the Middle (MitM) el tráfico con un certificado raíz corporativo. En el pasado, esto ha introducido sus propios riesgos. Con el porcentaje de tráfico de red moderno que permanece sin cifrar, esto puede limitar un poco la utilidad de un NIDS. Vale la pena señalar que incluso sin descifrar el tráfico,

Conclusión

Un IDS es un sistema de detección de intrusos. Es básicamente una versión ampliada de un producto antivirus diseñado para su uso en redes empresariales y que presenta informes centralizados a través de un SIEM. Puede operar tanto en dispositivos individuales como monitorear el tráfico general de la red en variantes conocidas como HIDS y NIDS respectivamente. Un IDS sufre de tasas muy altas de falsos positivos en un esfuerzo por evitar falsos negativos. Por lo general, los informes son evaluados por un equipo de seguridad humano. Algunas acciones, cuando la confianza de detección es alta, pueden automatizarse y luego marcarse para su revisión. Este sistema se conoce como IPS o IDPS.