¿Qué es un sistema de detección de intrusiones (IDS)?

Una IDS puede ayudar a acelerar y automatizar la detección de amenazas en la red alertando a los administradores de seguridad sobre amenazas conocidas o potenciales, o enviando alertas a una herramienta de seguridad centralizada. Una herramienta de seguridad centralizada, como un sistema e gestión de eventos e información de seguridad (SIEM), puede combinar datos de otras fuentes para ayudar a los equipos de seguridad a identificar y responder a ciberamenazas que podrían pasar desapercibidas por otras medidas de seguridad.

Las IDS también pueden apoyar los esfuerzos de cumplimiento. Ciertas regulaciones, como Payment Card Industry Data Security Standard (PCI-DSS), requieren que las organizaciones implementen medidas de detección de intrusiones.

Una IDS no puede detener las amenazas de seguridad por sí misma. Hoy en día, las capacidades de IDS suelen integrarse o incorporarse a sistemas de prevención de intrusiones (IPS), que pueden detectar amenazas de seguridad y actuar automáticamente para prevenirlas.

Los IDS pueden ser aplicaciones de software que se instalan en endpoints o dispositivos de hardware dedicados que están conectados a la red. Algunas soluciones de IDS están disponibles como servicios en la nube. Cualquiera que sea la forma que adopte, un IDS emplea uno o ambos métodos principales de detección de amenazas: detección basada en firmas o detección basada en anomalías.

La detección basada en firmas analiza los paquetes de red para detectar firmas de ataque, es decir, características o comportamientos únicos asociados con una amenaza específica. Una secuencia de código que aparece en una variante de malware determinada es un ejemplo de una firma de ataque.

Un IDS basado en firmas mantiene una base de datos de firmas de ataque con la que compara los paquetes de red. Si un paquete coincide con una de las firmas, el IDS lo marca. Para ser eficaces, las bases de datos de firmas deben actualizarse regularmente con una nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y los ataques existentes evolucionan. Los nuevos ataques que aún no se han analizado para firmas pueden evadir el IDS basado en firmas.

Los métodos de detección basados en anomalías utilizan machine learning para crear y refinar continuamente el modelo de referencia de la actividad normal de la red. Luego compara la actividad de la red con el modelo y marca las desviaciones, como un proceso que usa más ancho de banda de lo normal o un dispositivo que abre un puerto.

Debido a que informa cualquier comportamiento anormal, el IDS basado en anomalías a menudo puede detectar nuevos ciberataques que podrían evadir la detección basada en firmas. Por ejemplo, los IDS basados en anomalías pueden detectar explotaciones de día cero, es decir, ataques que usan las vulnerabilidades del software antes de que el desarrollador de este las conozca o tenga tiempo de aplicar parches

Pero los IDS basados en anomalías también pueden ser más propensos a falsos positivos. Incluso una actividad benigna, como un usuario autorizado que accede por primera vez a un recurso sensible de la red, puede activar un IDS basado en anomalías.

La detección basada en la reputación bloquea el tráfico de direcciones IP y dominios asociados con actividades maliciosas o sospechosas. El análisis de protocolo con estado se centra en el comportamiento del protocolo; por ejemplo, podría identificar un ataque de denegación del servicio (DoS) al detectar una sola dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un período corto.

Sea cual sea el método que utilice, cuando un IDS detecta una posible amenaza o infracción de políticas, alerta al equipo de respuesta ante incidentes para que investigue. Los IDS también conservan registros de incidentes de seguridad, ya sea en sus propios registros o registrándolos con una herramienta de gestión de eventos e información de seguridad (SIEM) (consulte "IDS y otras soluciones de seguridad" a continuación). Estos registros de incidentes se pueden utilizar para refinar los criterios del IDS, como agregar nuevas firmas de ataque o actualizar el modelo de comportamiento de la red.

Los IDS se clasifican en función de dónde se colocan en un sistema y qué tipo de actividad supervisan.

Los sistemas de detección de intrusiones en la red (NIDS) supervisan el tráfico entrante y saliente a los dispositivos a través de la red. Los NIDS se colocan en puntos estratégicos de la red, a menudo inmediatamente detrás de los cortafuegos en el perímetro de la red, para que puedan detectar cualquier tráfico malicioso que se cuele.

Los NIDS también puede colocarse dentro de la red para detectar amenazas internas o hackers que secuestraron cuentas de usuarios. Por ejemplo, podrían colocarse detrás de cada cortafuegos interno en una red segmentada para monitorear el tráfico que fluye entre subredes.

Para evitar impedir el flujo de tráfico legítimo, a menudo se coloca un NIDS "fuera de banda", lo que significa que el tráfico no pasa directamente a través de él. Un NIDS analiza copias de paquetes de red en lugar de los paquetes mismos. De esa manera, el tráfico legítimo no tiene que esperar el análisis, pero el NIDS aún puede detectar y marcar el tráfico malicioso.

Los sistemas de detección de intrusiones de host (HIDS) se instalan en un punto final específico, como una computadora portátil, un enrutador o un servidor. El HIDS solo monitorea la actividad en ese dispositivo, incluido el tráfico hacia y desde él. Un HID suele funcionar tomando instantáneas periódicas de los archivos críticos del sistema operativo y comparando estas instantáneas con el tiempo. Si el HIDS detecta un cambio, como la edición de archivos de registro o la modificación de configuraciones, alerta al equipo de seguridad.

Los equipos de seguridad suelen combinar sistemas de detección de intrusiones basados en la red y sistemas de detección de intrusiones basados en host. El NIDS analiza el tráfico en general, mientras que el HIDS puede agregar protección adicional en torno a los activos de alto valor. Un HIDS también puede ayudar a detectar la actividad maliciosa de un nodo de red comprometido, como la propagación del ransomware desde un dispositivo infectado.

Si bien los NIDS y HIDS son los más comunes, los equipos de seguridad pueden usar otros IDS para fines especializados. Un IDS basado en protocolos (PIDS) monitorea los protocolos de conexión entre servidores y dispositivos. Los PIDS suelen colocarse en servidores web para supervisar las conexiones HTTP o HTTPS.

Un IDS basado en protocolos de aplicación (APIDS) funciona en la capa de aplicación, monitoreando protocolos específicos de la aplicación. Un APIDS se implementa a menudo entre un servidor web y una base de datos SQL para detectar inyecciones SQL.

Si bien las soluciones de IDS pueden detectar muchas amenazas, los hackers pueden eludirlas. Los proveedores de IDS responden actualizando sus soluciones para tener en cuenta estas tácticas. Sin embargo, estas actualizaciones de la solución crean una especie de carrera armamentista, en la que los hackers y las IDS intentan ir un paso por delante unos de otros. 

Algunas tácticas comunes de evasión del IDS incluyen:

• Ataques de denegación distribuida del servicio (DDoS): desconectar los IDS al inundarlos con tráfico obviamente malicioso de múltiples fuentes. Cuando los recursos del IDS se ven abrumados por las amenazas señuelo, los hackers se cuelan.

• Spoofing: fingir direcciones IP y registros DNS para que parezca que su tráfico proviene de una fuente confiable.

• Fragmentación: dividir el malware u otras cargas maliciosas en paquetes pequeños, ocultar la firma y evitar la detección. Al retrasar estratégicamente los paquetes o enviarlos fuera de orden, los hackers pueden evitar que el IDS los rearme y notar el ataque.

• Cifrado: utiliza protocolos cifrados para omitir un IDS si el IDS no tiene la clave de descifrado correspondiente.

• Fatiga del operador: genera un gran número de alertas IDS a propósito para distraer al equipo de respuesta a incidentes de su actividad real.

Los IDS no son herramientas independientes. Están diseñados para ser parte de un sistema holístico de ciberseguridad y, a menudo, están estrechamente integrados con una o más de las siguientes soluciones de seguridad.

Las alertas de IDS a menudo se canalizan hacia el SIEM de una organización, donde se pueden combinar con alertas e información de otras herramientas de seguridad en un único panel centralizado. La integración de IDS con SIEM permite a los equipos de seguridad enriquecer las alertas de IDS con inteligencia de amenazas y datos de otras herramientas, filtrar falsas alarmas y priorizar incidentes para su corrección.

Como se indicó anteriormente, un IPS monitorea el tráfico de red para detectar actividades sospechosas, como un IDS, e intercepta amenazas en tiempo real terminando conexiones automáticamente o activando otras herramientas de seguridad. Como los IPS están pensados para detener los ciberataques, suelen colocarse en línea, lo que significa que todo el tráfico tiene que pasar por el IPS antes de llegar al resto de la red.

Algunas organizaciones implementan un IDS y un IPS como soluciones separadas. Más a menudo, el DSS e IPS se combinan en un único sistema de detección y prevención de intrusiones (IDPS) que detecta intrusiones, las registra, alerta a los equipos de seguridad y responde automáticamente.

Los IDS y los cortafuegos son complementarios. Los cortafuegos se enfrentan fuera de la red y actúan como barreras, utilizando conjuntos de reglas predefinidas para permitir o no permitir el tráfico. Los IDS a menudo se encuentran cerca de los cortafuegos y ayudan a detectar cualquier cosa que los pase. Algunos cortafuegos, especialmente los de última generación, tienen funciones integradas de IDS e IPS.