Tecnologías IPS/IDS: cambios e innovaciones

En un momento determinado los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) fueron “la respuesta” a los problemas de ataques al entorno de la empresa. Posteriormente estas tecnologías IPS/IDS fueron identificadas como anticuadas, ineficaces y fuera de uso. La verdad está entre los dos extremos. Y es que en realidad la tecnología IPS/IDS es un componente clave del sistema de detección de ataques y vulnerabilidades, que trabaja junto con otros controles en la seguridad de la empresa.

Si la empresa no permite el uso de tecnologías Wireless, los IPS/IDS Wireless pueden detectar los accesos no autorizados e incluso indicar en qué punto físico de la empresa se realiza esa actividad.

Las tecnologías IPS/IDS no están en la evolución constante de hace 10 o 15 años, pero si presentan cambios e innovaciones notables que mejoran su capacidad de detección de intrusiones. En este consejo le ofrecemos las últimas novedades, nuevas funciones y los cambios importantes realizados en las tecnologías IPS/IDS.

Uso de servicios de reputación
Muchos productos IPS/IDS basados en red y host han añadido el uso de servicios de reputación. Estos servicios llevan años en uso por otras herramientas de control de seguridad. Los servicios de reputación reúnen información sobre lo bueno o malos que son ciertos dominios, direcciones IP, protocolos, ubicaciones físicas y otros aspectos de la actividad de la red. Los sistemas IPS/IDS usan esta información para ver si la actividad en estudio puede ser buena o no.

Esta información puede ser muy útil para verificar las alertas IPS/IDS. Por ejemplo el sensor IPS/IDS informa de actividades no habituales, pero la dirección IP de dicha actividad es una dirección de confianza. Esto hace que el analista pueda considerar que esta ante un falso positivo.

Mejoras en los IPS/IDS Wireless

Las tecnologías IPS/IDS Wireless son la última novedad frente a otras formas de IPS/IDS, y siguen ampliando su capacidad a medida que la tecnología avanza. Por ejemplo la mayor parte de tecnologías IPS/IDS cuentan con soporte para transmisiones IEEE 802.11n toda vez que el desarrollo de este protocolo ha finalizado.

Tanto si la empresa usa dispositivos Wireless o no, el uso de IPS/IDS Wireless es muy recomendable. Si la empresa soporta dispositivos Wireless, incluyendo los BYOD (trae tu propio equipo) es aun más importante poder monitorear la actividad en busca de fallos y posibles ataques. Si la empresa no permite el uso de tecnologías Wireless, los IPS/IDS Wireless pueden detectar los accesos no autorizados e incluso indicar en qué punto físico de la empresa se realiza esa actividad.

Las empresas también deberían aprovechar las capacidades IDS/IPS Wireless que puedan ofrecer otros proveedores de sistemas de gestión de dispositivos móviles (MDM). Estos programas pueden mejorar la seguridad dentro de la empresa y ayudar a gestionar el uso de tablets, smartphones y otros dispositivos móviles.

Inspección inline de trafico encriptado SSL
Ante el mayor uso de HTTPS y otros protocolos de encriptación, los sensores IDS/IPS habían sido menos efectivos a la hora de analizar el tráfico en la red. Sin embargo algunos sensores de red IDS/IPS han añadido la capacidad de analizar e inspeccionar ese tráfico encriptado. El funcionamiento es similar al de un proxy, con dos conexiones SSL: una desde el origen al sensor y otra desde el sensor al destino, en vez de usar una conexión directa. En esencia el dispositivo desencripta, inspecciona y encripta de nuevo la información, enviándola a su destino sin retraso notable. Sin embargo también inserta un proxy entre las conexiones, lo que tiene sus propias implicaciones de seguridad y rendimiento. Las empresas pueden preferir el uso de IDS/IPS basados en host más que los IDS/IPS basados en red para controlar el tráfico encriptado.

IDS/IPS para entornos virtualizados
El incremento de la computación en la nube ha generado la necesidad de tecnologías concretas para este entorno. Por fortuna el hipervisor (gestor de maquina virtual) ofrece el entorno perfecto para controlar la actividad de red entre una única instancia y entre diversas instancias, mediante una introspección. Algunos hipervisores incluyen su propia tecnología de detección mientras que otros trasladan la información a los sistemas externos de control, como IDS/IPS basados en host estándar, para su examen. Las empresas deben asegurarse de que una vez que una instancia virtual pasa de un servidor en la nube a otro, sus políticas de seguridad (incluyendo las configuraciones IDS/IPS) se muevan con ella.

Sobre el autor:
Karen Scarfone es el consultor principal de Scarfone Cybersecurity en Clifton, Vancouver, que ofrece servicios de consultoría en ciber seguridad. Karen fue anteriormente analista sénior del National Institute of Standards y Technology (NIST), y ha colaborado en más de 50 publicaciones de NIST, incluyendo el especial 800-94,Guide to Intrusion Detection and Prevention Systems (IDPS).