12
marzo
2019

IDS - Sistema de Detección de Intrusos

Un Sistema de Detección de Intrusos (IDS: Intrusion Detection System) es un componente dentro del modelo de seguridad informática de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala, desde el exterior o interior de un dispositivo o una infraestructura de red.

El IDS se basa en la hipótesis de que el patrón de comportamiento de un intruso es diferente al de un usuario legítimo, lo que se emplea para su detección por análisis de estadísticas de uso.

Un modelo IDS intenta crear patrones de comportamiento de usuarios respecto al uso de programas, archivos y dispositivos, tanto a corto como a mediano y largo plazo, para hacer la detección efectiva; además, utiliza un sistema de reglas predefinidas (“firmas o signaturas”) para la representación de violaciones conocidas.

Funcionamiento

El funcionamiento de un Sistema de Detección de Intrusos se basa en el análisis pormenorizado del tráfico de red o el uso de los dispositivos. Para la evaluación se compara la situación con firmas de ataques conocidos, o comportamientos sospechosos.

La mayoría de los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos, que le permiten distinguir entre el uso normal de un dispositivo y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

En una red de comunicaciones, un IDS no solo analiza qué tipo de tráfico se emplea, sino también revisa su contenido y comportamiento; además, observa si ocurre un escaneo de puertos o la transmisión de paquetes de datos mal formados, entre otros aspectos.

Normalmente un IDS es integrado con un firewall, de preferencia en un dispositivo que funcione como puerta de enlace de una red. Esta asociación es muy poderosa, ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, en el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Detección de Anomalías

La idea central del funcionamiento de un IDS se basa en el hecho de que la actividad intrusiva constituye un conjunto de anomalías (acciones extrañas o sospechosas). Si alguien consigue entrar de forma ilegal a un sistema, no actuará como un usuario comprometido, sino que su comportamiento se alejará del de un usuario normal.

De forma general, la mayoría de las actividades intrusivas resultan de la suma de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo; así las intrusiones pueden clasificarse en:

  • Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema.
  • No intrusivas pero anómalas: denominados Falsos Positivos (el sistema erróneamente indica la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso cuando sean acertados.
  • No intrusiva ni anómala: son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal.
  • Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada.

Los detectores de intrusiones anómalas requieren realizar muchas estimaciones de varias métricas estadísticas, para determinar cuánto se aleja el usuario de lo que se considera comportamiento normal.

Características de un IDS

Cualquier sistema de detección de intrusos, sea cual sea su tipo y base de funcionamiento, debería contar con las siguientes características:

  • Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en segundo plano como parte del dispositivo o la red que está siendo observada.
  • Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del sistema.
  • Debe ser resistente a perturbaciones, en el sentido en que puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
  • Debe imponer mínima sobrecarga sobre el sistema. Un sistema que consume muchos recursos computacionales no debe ser utilizado.
  • Debe observar desviaciones sobre el comportamiento estándar.
  • Debe ser fácilmente adaptable al sistema operativo ya instalado, pues cada uno tiene un patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones.
  • Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas aplicaciones al mismo.
  • Debe ayudar a identificar de dónde provienen los ataques que se sufren, y recoger evidencias que pueden ser usadas para identificar intrusos.
  • Deben ser “difíciles de vulnerar” y suministrar a los especialistas de seguridad “cierta tranquilidad”.

Tipos de IDS

Los sistemas de detección de intrusos pueden clasificarse dependiendo del tipo de evento que monitorean y cómo se implementan:

  • IDS basados en Red: El sistema de detección de intrusiones de red monitorea el tráfico de red en un segmento o dispositivo, y analiza la red y la actividad de los protocolos para identificar actividades sospechosas. Este sistema también es capaz de detectar innumerables tipos de eventos de interés, y por lo general se implementa en una topología de seguridad como frontera entre dos redes, por donde el tráfico es enfilado; en muchos casos, el propio IDS termina por integrarse directamente en el firewall.
  • IDS basados en Host o ab0nado de la red: El sistema de detección de intrusiones en el host se refiere a un equipo o activo propiamente dicho. En este caso, se considera un host, por ejemplo, al dispositivo personal de un usuario o a un servidor de aplicaciones. La detección de intrusión, en este formato, monitorea las características del dispositivo y los eventos que ocurren con él en busca de actividades sospechosas. Generalmente los IDS basados en host se pueden instalar de manera individual, tanto para equipos corporativos dentro de una red empresarial, como para terminales personales. Entre las principales características que los acompaña, se destaca el tráfico de la red para el dispositivo, los procesos en ejecución, los registros del sistema, así como el acceso y cambio en archivos y aplicaciones.
  • IDS basado en Conocimiento: hace referencia a una base de datos de perfiles de vulnerabilidades de sistemas ya conocidos para identificar intentos de intrusión activos. En este caso, es de suma importancia que la estructura tenga una política de actualización continua de la base de datos (firmas) para garantizar la continuidad de la seguridad del ambiente, teniendo en cuenta que lo que no se conoce, literalmente, no será protegido.
  • IDS basado en Comportamiento: analiza el comportamiento del tráfico siguiendo una línea de base o estándar de actividad normal del sistema, para identificar intentos de intrusión. En el caso de que haya desviaciones de este patrón o líneas de base, se pueden tomar algunas acciones, ya sea bloqueando ese tráfico temporalmente, o emitiendo alarmas de operación de red, que permitan que esa anormalidad pueda ser mejor investigada, liberada o permanentemente bloqueada.
  • IDS Activo: se define un IDS como activo, desde el momento en que se determina que bloqueará automáticamente ataques o actividades sospechosas que sean de su conocimiento, sin necesidad de intervención humana. Aunque potencialmente es un modelo extremadamente interesante, es importante un ajuste de parámetros adecuado a los ambientes protegidos, para minimizar falsos positivos, y que se bloqueen conexiones legítimas que causen trastornos para las organizaciones.
  • IDS Pasivo: monitorea el tráfico que pasa a través de él, identificando potenciales ataques o anormalidades y, con base en ello, genera alertas para administradores y equipos de seguridad; sin embargo, no interfiere en absolutamente nada en la comunicación. Aunque no actuar directamente en la prevención, sirve como un excelente termómetro de ataques e intentos de acceso no autorizados a la infraestructura de una empresa.

Importancia de los IDS

Cada día se crean nuevas técnicas para exponer o vulnerar sistemas computacionales, y es un gran desafío para la seguridad de la información acompañar esta velocidad, e incluso estar al frente y no actuar de forma reactiva.

La implementación de una buena política de IDS es fundamental en una arquitectura de seguridad, ya que este recurso, si se actualiza constantemente, es capaz de mantener la infraestructura distante de ataques oportunistas, ya sea desde una perspectiva de la red, o por la propia exposición de un dispositivo.

Para poner en funcionamiento, un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución de hardware, de software, o incluso una combinación de estos.

La posibilidad de introducir un elemento hardware es debido al alto procesamiento de información en redes con mucho tráfico; a su vez, los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de almacenamiento.

En la actualidad, además, el desarrollo de las estrategias de seguridades para los dispositivos y las redes de comunicación, ha influido en el surgimiento de un nuevo tipo de defensa a tomar en consideración: los IPS o Sistemas de Prevención de Intrusiones, que en buena medida pueden interpretarse como una evolución de los IDS tradicionales.

La compañía Infotecs ha desarrollado Sistemas para la Detección y Erradicación de Amenazas (Threat Detection and Response), que cuentan con todos los componentes para la detección y un módulo de toma de decisiones automáticas Threat Intelligence Analytic System -TIAS , que basado en firmas, aprendizaje por máquina e inteligencia artificial es capaz de detectar ataques del Día Cero.

Si deseas conocer más: ViPNet Threat Intelligence