Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En los últimos años, la seguridad de redes ha sido un tema muy discutido por gestores de TI, que
aumentan año tras año las inversiones para proteger la privacidad, integridad y disponibilidad de
la información.
Muchas de ellas por cuenta de acciones de usuarios, internos y externos, mal intencionados, que
buscan hacer que nos estén disponibles los servicios, redes y sistemas de empresas de todos los
portes y ramas de actuación.
Para evitar esta situación, se implementan numerosas estrategias de defensa, como firewalls,
uso masivo de criptografía, redes privadas virtuales, entre otros, buscando mantener la seguridad
de las infraestructuras y el secreto de las comunicaciones realizadas a través de Internet.
Entre los métodos comúnmente utilizados, se destaca la detección de intrusión, o IDS (Intrusión
Detection System). Con eso, podemos recopilar y utilizar información de los diversos tipos de
ataques conocidos en pro de la defensa de toda infraestructura, además de poder identificar
puntos o intentos de ataque, permitiendo no sólo el registro sino la mejora continua del ambiente
de seguridad.
1
¿Qué es la detección de intrusión?
Alrededor de la década del 1960, los sistemas financieros comenzaron a introducir la práctica de
la auditoría en sus procesos para inspeccionar datos y verificar la existencia de fraudes o errores
en sistemas. Sin embargo, surgieron algunas cuestiones: ¿qué debería ser detectado, ¿cómo
analizar lo que se descubrió y cómo proteger los diversos niveles de habilitación de seguridad en
una misma red sin comprometer la seguridad?
Entre 1984 y 1986, Dorothy Denning y Peter Neumann desarrollaron un primer modelo de IDS, un
prototipo nombrado como IDES (Sistema Especialista en Detección de Intrusión).
2
Host Based
El término host se refiere a un equipo o activo propiamente dicho. En este caso, podemos
considerar un equipo de un usuario, o un servidor, como un host. La detección de intrusión, en
este formato, monitorea las características del dispositivo y los eventos que ocurren con él en
busca de actividades sospechosas.
Generalmente los IDS basados en host se pueden instalar de manera individual, tanto para
equipos corporativos dentro de una red empresarial, como para endpoints, (Los Endpoint son
cualquier punto que sea la parte final de una red. ... “Debido a que el 70% de las vulneraciones
de datos exitosas comienzan en los EndPoint, un enfoque preventivo de la seguridad puede
ayudar a detener los ataques cibernéticos”.)
Entre las principales características que los acompaña, se destaca el tráfico de la red para el
dispositivo, los procesos en ejecución, los registros del sistema, así como el acceso y cambio en
archivos y aplicaciones.
Comportamiento
El IDS basado en comportamiento, por otro lado, analiza el comportamiento del tráfico siguiendo
una línea de base o estándar de actividad normal del sistema para identificar intentos de
intrusión.
Combinar tanto los sistemas de detección y prevención de intrusión basados en red como en host
es fundamental para una buena salud de seguridad. Ninguno de los modelos presentados es
necesariamente excluyente, por el contrario, ellos deben ser tratados como complementarios de
acuerdo a la necesidad y criticidad de protección exigidas por un negocio.
En resumen
IPS o sistema de prevención de intrusiones: es un software que se utiliza para proteger a los
sistemas de ataques e intrusiones. Su actuación es preventiva. Estos sistemas llevan a cabo
un análisis en tiempo real de las conexiones y los protocolos para determinar si se está
produciendo o se va a producir un incidente, identificando ataques según patrones, anomalías o
comportamientos sospechosos y permitiendo el control de acceso a la red, implementando
políticas que se basan en el contenido del tráfico monitorizado, es decir, el IPS además de
lanzar alarmas, puede descartar paquetes y desconectar conexiones.
4
La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es
un término de seguridad de la información que se refiere a una sola solución de
seguridad y, por lo general, a un único producto de seguridad que ofrece varias
funciones de protección en un solo punto en la red.
Video: https://www.youtube.com/watch?v=X7MFGaEHw08&ab_channel=HTMLRules
SIEM
IDS
La principal ventaja de un sistema IDS es que permite ver lo que está sucediendo en la red en
tiempo real en base a la información recopilada, reconocer modificaciones en los documentos y
automatizar los patrones de búsqueda en los paquetes de datos enviados a través de la red. Su
principal desventaja es qué estas herramientas, sobre todo en el caso de las de tipo pasivo, no es
están diseñadas para prevenir o detener los ataques que detecten, además son vulnerables a
los ataques DDoS que pueden provocar la inoperatividad de la herramienta.
IPS
Entre sus desventajas, destacan los efectos adversos que pueden producirse en el caso de
que se detecte un falso positivo, si por ejemplo se ejecuta una política de aislamiento de las
máquinas de la red o en el caso de que se reciban ataques de tipo DDoS que pueden provocar
su inutilización.
SIEM
Entre las ventajas de contar con un SIEM destacan la centralización de la información y eventos,
es decir, se proporciona un punto de referencia común. La centralización permite automatizar
tareas, con su consiguiente ahorro de tiempo y costes, el seguimiento de los eventos para detectar
anomalías de seguridad o la visualización de datos históricos a lo largo del tiempo. Además, los
sistemas SIEM muestran al administrador la existencia de vulnerabilidades, así como si están
siendo aprovechadas en los ataques.
Entre sus desventajas en el caso de que se encargue de su mantenimiento un departamento de la
empresa destacan sus altos costes de implantación, una curva de aprendizaje larga al tener
que formar personal propio para esta tarea y una integración limitada con el resto del sistema. En
el caso de que se externalice esta tarea se experimenta una pérdida de control de la información
generada o un acceso limitado a determinada información y una fatiga por la alta recepción de
notificaciones. Estos aspectos pueden gestionarse con el proveedor del servicio a través de los
acuerdos de nivel de servicios o ANS o SLA.
Las soluciones SIEM disponibles comparten puntos en común que son importantes para sus
operaciones. Usted querrá contar con la capacidad de:
Fuente: https://www.helpsystems.com
6
7