¿Qué es un sistema de prevención de intrusiones (IPS)?

Las soluciones IPS evolucionaron a partir de los sistemas de detección de intrusiones (IDS), que detectan e informan de las amenazas al equipo de seguridad. Un IPS tiene las mismas funciones de detección y generación de informes de amenazas que un IDS, además de capacidades automatizadas de prevención de amenazas, por lo que a veces se denominan "sistemas de detección y prevención de intrusiones" (IDPS).

Dado que un IPS puede bloquear directamente el tráfico malicioso, puede aligerar la carga de trabajo de los equipos de seguridad y los centros de operaciones de seguridad (SOC), permitiéndoles centrarse en amenazas más complejas. Los IPS pueden ayudar a hacer cumplir las políticas de seguridad de redes bloqueando acciones no autorizadas de usuarios legítimos, y pueden apoyar los esfuerzos de cumplimiento. Por ejemplo, un IPS cumple los requisitos del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS) en cuanto a medidas de detección de intrusiones.

Los IPS utilizan tres métodos principales de detección de amenazas, de forma exclusiva o en combinación, para analizar el tráfico.

Los métodos de detección basados en firmas analizan los paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados a una amenaza específica. Una secuencia de código que aparece en una variante de malware particular es un ejemplo de firma de ataque.

Un IPS basado en firmas mantiene una base de datos de firmas de ataque con las que compara los paquetes de red. Si un paquete coincide con una de las firmas, el IPS responde. Las bases de datos de firmas deben actualizarse regularmente con nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y evolucionan los ataques existentes. Sin embargo, los nuevos ataques que aún no están en busca de firmas pueden evadir un IPS basado en firmas.

Los métodos de detección basados en anomalías utilizan la inteligencia artificial y el machine learning para crear y perfeccionar continuamente un modelo de referencia de la actividad normal de la red. El IPS compara la actividad de red en curso con el modelo y responde cuando encuentra desviaciones, como un proceso que usa más ancho de banda de lo normal o un dispositivo que abre un puerto que generalmente está cerrado.

Dado que los IPS basados en anomalías responden a cualquier comportamiento anómalo, a menudo pueden bloquear ciberataques totalmente nuevos que podrían eludir la detección basada en firmas. Incluso pueden detectar exploits de día cero, es decir, ataques que aprovechan vulnerabilidades del software antes de que el desarrollador las conozca o haya tenido tiempo de parchearlas.

Sin embargo, los IPS basados en anomalías pueden ser más propensos a falsos positivos. Incluso una actividad benigna, como el acceso por primera vez de un usuario autorizado a un recurso sensible de la red, puede activar un IPS basado en anomalías. Como resultado, los usuarios autorizados podrían ser expulsados de la red o ver bloqueada su dirección IP.

Los métodos de detección basados en políticas se basan en las políticas de seguridad establecidas por el equipo de seguridad. Siempre que un IPS basado en políticas detecta una acción que viola una política de seguridad, la bloquea.

Por ejemplo, un SOC puede establecer políticas de control de acceso que dicten qué usuarios y dispositivos pueden acceder a un host. Si un usuario no autorizado intenta conectarse al host, un basado en directivas los detendrá el IPS.

Aunque los IPS basados en políticas ofrecen personalización, pueden requerir una importante inversión inicial. El equipo de seguridad debe crear un conjunto completo de políticas que describan lo que está y no está permitido en toda la red.

Aunque la mayoría de los IPS utilizan los métodos de detección de amenazas descritos anteriormente, algunos utilizan técnicas menos comunes.

La detección basada en la reputación marca y bloquea el tráfico de las direcciones IP y los dominios que están asociados a actividades malintencionadas o sospechosas. El análisis de protocolos con seguimiento de estado se centra en el comportamiento del protocolo; por ejemplo, puede identificar un ataque de denegación de servicio distribuido (DDoS) detectando una única dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un breve periodo de tiempo.

Cuando un IPS detecta una amenaza, registra el evento y lo informa al SOC, a menudo mediante una herramienta de  gestión de eventos e información de seguridad (SIEM) (consulte "IPS y otras soluciones de seguridad" a continuación).

Pero el IPS no se queda ahí. Automáticamente toma medidas contra la amenaza utilizando técnicas como:

Las soluciones IPS pueden ser aplicaciones de software instaladas en endpoints, dispositivos de hardware específicos conectados a la red o suministrados como servicios en la nube. Dado que los IPS deben ser capaces de bloquear la actividad maliciosa en tiempo real, siempre se colocan "en línea" en la red, lo que significa que el tráfico pasa directamente a través del IPS antes de llegar a su destino.

Los IPS se clasifican en función de su ubicación en la red y del tipo de actividad que monitorizan. Muchas organizaciones utilizan varios tipos de IPS en sus redes.

Un sistema de prevención de intrusiones basado en la red (NIPS) monitoriza el tráfico entrante y saliente a los dispositivos de toda la red, inspeccionando paquetes individuales para detectar actividades sospechosas. Los monitores NIPS están colocados en puntos estratégicos de la red. A menudo se sitúan inmediatamente detrás de los firewalls en el perímetro de la red para poder detener el tráfico malicioso. El NIPS también se puede colocar dentro de la red para monitorizar el tráfico hacia y desde activos clave, como centros de datos o dispositivos críticos.

Un sistema de prevención de intrusiones basado en host (HIPS, por sus siglas en inglés) se instala en un endpoint específico, como un portátil o un servidor, y monitoriza únicamente el tráfico hacia y desde ese dispositivo. Los HIPS se suelen utilizar junto con los NIPS para añadir seguridad adicional a los activos más importantes. Los HIPS también pueden bloquear la actividad maliciosa de un nodo de red comprometido, como el ransomware que se propaga desde un dispositivo infectado.

Las soluciones de análisis de comportamiento de red (NBA) monitorizan los flujos de tráfico de red. Los NBA pueden inspeccionar paquetes como otros IPS, pero muchos de ellos se centran en detalles de más alto nivel de las sesiones de comunicación, como las direcciones IP de origen y destino, los puertos utilizados y el número de paquetes transmitidos.

Los NBA utilizan métodos de detección basados en anomalías, que marcan y bloquean cualquier flujo que se desvíe de la norma, como un ataque DDoS al tráfico o un dispositivo infectado con malware que se comunica con un servidor de mando y control desconocido.

Un sistema de prevención de intrusiones inalámbricas (WIPS, por sus siglas en inglés) supervisa los protocolos de red inalámbrica en busca de actividades sospechosas, como usuarios y dispositivos no autorizados que acceden a la wifi de la empresa. Si un WIPS detecta una entidad desconocida en una red inalámbrica, puede terminar la conexión. Un WIPS también puede ayudar a detectar dispositivos mal configurados o inseguros en una red Wi-Fi e interceptar posibles ataques, en los que un hacker espía en secreto las comunicaciones de los usuarios.

Aunque los IPS están disponibles como herramientas independientes, están diseñados para integrarse estrechamente con otras soluciones de seguridad como parte de un sistema holístico de ciberseguridad.

Las alertas de los IPS suelen enviarse a la SIEM de una organización, donde pueden combinarse con alertas e información de otras herramientas de seguridad en un único panel de control centralizado. La integración de los IPS con las SIEM permite a los equipos de seguridad enriquecer las alertas de los IPS con más inteligencia de amenazas, filtrar las falsas alarmas y realizar un seguimiento de la actividad de los IPS para asegurarse de que las amenazas se han bloqueado con éxito. Las SIEM también pueden ayudar a los SOC a coordinar los datos de distintos tipos de IPS, ya que muchas organizaciones utilizan más de uno.

Como se ha mencionado anteriormente, los IPS evolucionaron de los IDS y comparten muchas características. Aunque algunas organizaciones pueden utilizar soluciones IPS e IDS por separado, la mayoría de los equipos de seguridad despliegan una única solución integrada que ofrece detección sólida, registros, informes y prevención de amenazas automática. Muchos IPS permiten a los equipos de seguridad desconectar las funciones de prevención, lo que les permite actuar como IDS puros si la organización lo desea.

Los IPS sirven como una segunda línea de defensa detrás de los cortafuegos. Los cortafuegos bloquean el tráfico malicioso en el perímetro, y los IPS interceptan todo lo que consigue traspasar el cortafuegos y entrar en la red. Algunos cortafuegos, especialmente los cortafuegos de próxima generación, tienen funciones IPS incorporadas.