Qué es el IPS/IDS y dónde se utiliza

Tanto los IDS como los IPS son sistemas para la correcta monitorización de posibles amenazas. Estos sistemas de intrusión son totalmente diferentes y profundizaremos en la discusión sobre los enfoques de control y monitorización. Si este tema le parece interesante, siga leyendo y obtendrá toda la información que necesita.

Qué es un sistema de detección de intrusos (IDS)

IDS o sistema de detección de intrusos suele estar relacionado con la aplicación de software o un dispositivo que se encarga de la supervisión de las amenazas en línea, ya sea en el sistema o en la red. La información sobre la actividad extraña suele comunicarse al administrador o recogerse a través del sistema SIEM.

En cuanto a los métodos de funcionamiento de los IDS, existen 3 opciones posibles como son:

• Detección de anomalías. Los IDS pueden funcionar para la monitorización de la actividad tanto del ordenador como de la red y después dividir la actividad en normal o anormal. Este tipo de sistema se diseñó inicialmente para detectar actividad extraña. El enfoque se basa principalmente en la utilización del aprendizaje automático, con la ayuda del cual se memorizan modelos correctos de actividad y se comparan con los nuevos/extraños. Este enfoque es mucho mejor debido a sus propiedades generalizadas, pero puede tener algunos problemas con los falsos positivos.
• Detección IDS que se basa en la firma. Este enfoque se considera más tradicional y se basa en la búsqueda de determinados patrones. En este método, los patrones significan lo mismo que las firmas. Esta detección IDS ayudará con los ciberataques conocidos pero tendrá algunos problemas con los nuevos patrones.
• Detección basada en la reputación. Aquí la puntuación de reputación influye en todo el proceso.

Ahora que ya sabes cómo funcionan los IDS, vamos a hablar del tipo principal de este sistema. La clasificación principal incluye 2 tipos:

• NIDS. Este tipo de IDS supervisa el tráfico entrante. Este sistema analiza la actividad del tráfico que entra y sale del dispositivo. Toda la actividad se compara con la biblioteca existente de posibles ataques y una vez que se identifica algo extraño, el administrador recibe una alerta al respecto.
• HIDS. Este sistema es necesario para la correcta monitorización del sistema operativo en los dispositivos o hosts individuales. Todos los paquetes son monitorizados para detectar actividad inusual. La alerta se produce cuando los archivos críticos se cambian en el sistema.      

Qué es un sistema de prevención de intrusiones (IPS)

IPS o sistema de prevención de intrusiones que funciona detectando actividad amenazante, informando de dicha actividad e intentando prevenir dichas amenazas. Por regla general, el IPS se encuentra justo detrás del cortafuegos. Este tipo de sistema es extremadamente útil para identificar los problemas relacionados con las estrategias de seguridad, detectar a los ciberdelincuentes e identificar las amenazas documentales.

La prevención de la actividad amenazadora se produce en el IPS mediante la modificación del contenido del ataque, la reconfiguración de los cortafuegos u otros métodos. Algunos usuarios aceptan IPS como una extensión de IDS principalmente porque son responsables de la monitorización de la red.

He aquí un par de métodos que explican cómo funciona el IPS:

• Monitorización del análisis del protocolo stateful. Este método IPS funciona comparando toda la actividad con las reglas generalizadas y de esta manera se detecta la desviación.
• Monitorización basada en firma. El proceso en el método IPS detecta paquetes en la red y después de eso, los patrones estándar (firmas) son comparados con los paquetes.
• Monitorización basada en las animalidades estadísticas. El método funciona comprobando la actividad de la red y la comparación se realiza basándose en la línea de base predeterminada. Esta línea determina las características básicas que se consideran normales, como el uso de determinados protocolos o el ancho de banda utilizado. Cuando hay algunos problemas con la configuración de la línea de base, el resultado puede ser un falso positivo.   

Una vez detectada la actividad sospechosa, IPS puede reaccionar según los siguientes escenarios:

• IPS puede bloquear a un usuario que está violando algunos patrones al acceder a la red, host o app
• Un escenario más puede estar relacionado con la terminación de la sesión TCP
• La eliminación del contenido amenazante, o la eliminación de los datos infectados después del ciberataque
• Reconfiguración del cortafuegos para excluir la posibilidad de ataques similares en un futuro próximo.

La clasificación de los tipos de IPS:

• WIPS. Este tipo de IPS detecta el acceso no autorizado y lo elimina una vez advertido. Un sistema de este tipo suele funcionar como superpuesto a la infraestructura de LAN inalámbrica, pero también puede utilizarse de forma independiente. Con la utilización de WIPS se pueden prevenir riesgos como: honeypot, puntos de acceso no autorizados, ataques de denegación de servicio, MAC spoofing y muchos otros.
• HIPS. Este sistema normalmente funciona analizando el comportamiento del código en el host y de tal manera se detecta una actividad extraña. HIPS es extremadamente útil para la protección de la información sensible de la extracción.
• NIPS. La detección se realiza mediante el análisis de los paquetes a través de la red. Inmediatamente después de la instalación, se recogen los datos sobre el host y la red. La prevención de ataques se realiza mediante el rechazo de paquetes, la limitación del ancho de banda y las conexiones TCP.
• NBA. Este análisis se basa en el comportamiento normal/extraño de la red. Para considerar lo que es normal y lo que no lo es, el sistema requiere cierto tiempo.

Integración: ¿Pueden colaborar IDS e IPS?

Tanto los IDS como los IPS funcionan para lograr un objetivo común: salvaguardar la infraestructura de la red. En la mayoría de los casos, estos sistemas detectan actividades extrañas comparándolas con las características de comportamiento estándar (normal).  

Además de funcionar de forma independiente, IPS e IDS pueden integrarse juntos. Además, los cortafuegos también pueden colaborar con los IPS/IDS para mejorar la protección del sistema. Esta colaboración se denomina UTM o NGFW.

IDS e IPS con cortafuegos

En el enfoque tradicional de cortafuegos, el sistema funciona de tal manera que deniega/permite algunas de las conexiones en la red basándose en las reglas especificadas. En caso de que se utilicen las reglas necesarias, se impedirán las instrucciones. En general, los cortafuegos estándar limitan el acceso, pero no pueden detener totalmente al atacante de la red.

IPS e IDS funcionan detectando amenazas dentro de la red y notificando sobre tal actividad. Para obtener los máximos resultados de todas estas tecnologías, se combinan y crean nuevos cortafuegos. La tecnología de nueva generación unió el cortafuegos con IPS/IDS. 

Principales solapamientos entre IDS e IPS

Ambos sistemas son buenas opciones para hacer frente a las amenazas relacionadas con la infraestructura de red. El proceso funciona principalmente analizando la actividad del tráfico y comparándola con la base de datos de actividad habitual y anormal. Los IDS funcionan analizando la actividad del tráfico, mientras que los IPS pueden incluso influir en el proceso y controlarlo de alguna manera.

Existen varios solapamientos entre ambos sistemas y los trataremos aquí.  

1. A la medida de las empresas contemporáneas

Las empresas contemporáneas están más orientadas al trabajo a distancia que nunca. Son muchas las empresas que se pasaron a esta modalidad durante una pandemia y siguen por este paso que requiere mayores volúmenes de tráfico y más puntos de acceso en general. El análisis manual y la supervisión de las amenazas se han vuelto casi inútiles debido a los entornos en nube. Además, la ciberseguridad también está mejorando el mecanismo para hacer frente a una variedad de riesgos, y esos enfoques también deben aplicarse.

Por eso, tanto los IPS como los IDS son inseparables del cambiante mundo de la ciberseguridad y están perfectamente adaptados a las empresas. La automatización de la mayoría de los procesos hace que la detección de amenazas sea mucho más fácil y eficaz que en el pasado. No olvide actualizar el sistema siempre que sea necesario y estará aún más protegido contra los riesgos de seguridad más recientes.   

2. Funcionalidad basada en bases de datos de firmas o modelos de comportamiento

Los enfoques más habituales que se utilizan en IDS e IPS están relacionados con los modelos de comportamiento y los que se orientan principalmente a las bases de datos de firmas. Hay un porcentaje de usuarios que incluso prefieren combinar estos enfoques de ciberseguridad para alcanzar sus objetivos. El funcionamiento de la solución es bastante sencillo, una vez detectado el peligro, se produce una alerta inmediata sobre la posible amenaza e incluso se inicia una actividad automatizada.

Los sistemas de detección/prevención de intrusiones que se basan en la base de datos de firmas son ideales para la identificación de ciberataques estándar. Aquí la información de la red se compara con la lista de posibles indicadores y de esta forma se determina una actividad inusual.

Si se detecta la coincidencia de la firma, el sistema elegido para hacer frente a las intrusiones reacciona y se ocupa de los problemas existentes. La velocidad de detección es extremadamente alta y eso es una gran ventaja que todo usuario puede notar. El problema menor aquí puede residir en las bases de datos, en caso de que una amenaza no esté listada allí, no será detectada.  

Por otro lado, el enfoque de intrusiones basado en modelos utiliza el aprendizaje automático para la detección de posibles amenazas. La actividad del tráfico se compara siempre con la línea de base y de este modo se puede advertir una actividad extraña. No trabaja con pistas específicas, sino que se orienta más hacia el comportamiento inusual.

3. Aprovechar las capacidades de automatización

Los IPS e IDS son grandes soluciones por varias razones, pero la principal se considera la automatización de los procesos. Con la automatización, se obtienen mejores resultados en la detección de los riesgos y, al mismo tiempo, se utilizan menos recursos.

Los sistemas para hacer frente a las intrusiones pueden utilizar enfoques de software o hardware. Al principio, la mayoría de las empresas utilizaban sensores en los puntos cruciales de la red para el análisis de la situación actual. Más tarde, en lugar del enfoque de hardware surgió el software, en el que con la ayuda de herramientas específicas se puede realizar la monitorización de los datos. Tras la detección de cualquier posible riesgo, se procederá inmediatamente a la notificación. IPS puede incluso ir más allá de la alarma, se pueden hacer ciertas acciones automáticas.  

4. Simplificación de los procesos de cumplimiento

Hay muchas industrias en las que los procesos de cumplimiento son cruciales y, en concreto, estamos hablando del sector financiero y de la sanidad. Los IPS e IDS pueden ser una gran solución para las empresas que buscan procesos de cumplimiento simplificados.

Con el aumento de los datos digitales disponibles, el análisis y la supervisión constante del sistema necesitan más recursos y eso es obvio. En tal caso, IPS/IDS puede ser extremadamente útil para prevenir actividades no autorizadas con el uso de procesos automatizados.

Una supervisión y un análisis más profundos de la infraestructura son cruciales cuando se trata de cumplir normativas estrictas. Con estos sistemas de detección, es mucho más fácil controlar todo el tráfico, incluso el que es invisible para la mayoría de las demás soluciones de detección de intrusiones. Por ejemplo, estos sistemas pueden detectar rápidamente una actividad inusual en una conexión LAN, lo que es crucial para la ciberseguridad.    

5. Aplicación eficaz de las políticas empresariales

La aplicación de las políticas empresariales no es lo más fácil para muchas empresas. Sin embargo, IPS e IDS pueden influir enormemente en el proceso y ayudar a la aplicación efectiva de normas de alta seguridad, así como influir en la ética empresarial.Para entender cómo funcionan todos estos procesos, tomemos por ejemplo la VPN. En caso de que la política de una organización se oriente a una determinada VPN, entonces la actividad de tráfico de otros servicios puede bloquearse fácilmente con este sistema de detección de intrusiones.