¿Qué es un sistema de detección de intrusiones (IDS)?

Un IDS puede ayudar a acelerar y automatizar la detección de amenazas en la red mediante alertas a los administradores de seguridad sobre amenazas conocidas o potenciales, o mediante el envío de alertas a una herramienta de seguridad centralizada. Una herramienta de seguridad centralizada, como un sistema de gestión de eventos e información de seguridad (SIEM), puede combinar datos de otras fuentes para ayudar a los equipos de seguridad a identificar y responder a las ciberamenazas que podrían pasar desapercibidas para otras medidas de seguridad.

Los IDS también pueden apoyar los esfuerzos de cumplimiento de la normativa. Ciertas normativas, como el Estándar de Seguridad de los Datos para la Industria de Tarjeta de Pago (PCI-DSS), exigen que las organizaciones apliquen medidas de detección de intrusiones.

Un IDS no puede detener las amenazas de seguridad por sí solo. Hoy en día, las capacidades de los IDS suelen integrarse o incorporarse a los sistemas de prevención de intrusiones (IPS), que pueden detectar amenazas de seguridad y actuar automáticamente para prevenirlas.

Los IDS pueden ser aplicaciones de software instaladas en endpoints o unidades de hardware específicas conectadas a la red. Algunas soluciones IDS están disponibles como servicios en la nube. Sea cual sea su forma, un IDS utiliza uno o los dos métodos principales de detección de amenazas: detección basada en firmas o en anomalías.

La detección basada en firmas analiza los paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados a una amenaza específica. Una secuencia de código que aparece en una variante de malware particular es un ejemplo de firma de ataque.

Un IDS basado en firmas mantiene una base de datos de firmas de ataque con las que compara los paquetes de red. Si un paquete coincide con una de las firmas, el IDS lo señala. Para ser eficaces, las bases de datos de firmas deben actualizarse periódicamente con nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y evolucionan los ya existentes. Los nuevos ataques que aún no han sido analizados en busca de firmas pueden evadir un IDS basado en firmas.

Los métodos de detección basados en anomalías utilizan el machine learning para crear, y perfeccionar continuamente, un modelo de referencia de la actividad normal de la red. Luego compara la actividad de la red con el modelo y marca las desviaciones, como un proceso que utiliza más ancho de banda de lo normal o un dispositivo que abre un puerto.

Dado que informan de cualquier comportamiento anómalo, los IDS basados en anomalías a menudo pueden detectar ciberataques nuevos que podrían evadir la detección basada en firmas. Por ejemplo, los IDS basados en anomalías pueden detectar exploits de día cero, es decir, ataques que aprovechan vulnerabilidades del software antes de que el desarrollador las conozca o haya tenido tiempo de aplicar un parche.

Pero los IDS basados en anomalías también pueden ser más propensos a los falsos positivos. Incluso una actividad benigna, como el acceso por primera vez de un usuario autorizado a un recurso sensible de la red, puede activar un IDS basado en anomalías.

La detección basada en la reputación bloquea el tráfico procedente de direcciones IP y dominios asociados a actividades maliciosas o sospechosas. El análisis de protocolos con seguimiento de estado se centra en el comportamiento del protocolo; por ejemplo, puede identificar un ataque de denegación de servicio (DDoS, por sus siglas en inglés) detectando una única dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un breve periodo de tiempo.

Sea cual sea el método que utilice, cuando un IDS detecta una amenaza potencial o una violación de la política, alerta al Equipo de Respuesta a Incidentes para que investigue. Los IDS también guardan registros de los incidentes de seguridad, ya sea en sus propios registros o registrándolos con una herramienta de gestión de eventos e información de seguridad (SIEM) (véase "IDS y otras soluciones de seguridad" a continuación). Estos registros de incidentes pueden utilizarse para refinar los criterios del IDS, por ejemplo añadiendo nuevas firmas de ataque o actualizando el modelo de comportamiento de la red.

Los IDS se clasifican según su ubicación en el sistema y el tipo de actividad que monitorizan.

Los sistemas de detección de intrusiones en la red (NIDS) monitorizan el tráfico entrante y saliente a los dispositivos a través de la red. Los NIDS se colocan en puntos estratégicos de la red, a menudo inmediatamente detrás de los firewalls en el perímetro de la red, para que puedan marcar cualquier tráfico malicioso que se abra paso.

También se puede colocar un NIDS dentro de la red para detectar amenazas internas o hackers que hayan haqueado cuentas de usuario. Por ejemplo, los NIDS podrían colocarse detrás de cada firewall interno en una red segmentada para monitorizar el tráfico que fluye entre subredes.

Para no obstaculizar el flujo de tráfico legítimo, un NIDS suele colocarse "fuera de banda", lo que significa que el tráfico no pasa directamente a través de él. Un NIDS analiza copias de paquetes de red en lugar de los propios paquetes. De este modo, el tráfico legítimo no tiene que esperar a ser analizado, pero el NIDS puede detectar y marcar el tráfico malicioso.

Los sistemas de detección de intrusiones basado en host (HIDS) se instalan en un punto final específico, como un portátil, un router o un servidor. El HIDS solo supervisa la actividad en ese dispositivo, incluido el tráfico hacia y desde él. Un HIDS suele funcionar tomando instantáneas periódicas de los archivos críticos del sistema operativo y comparando estas instantáneas a lo largo del tiempo. Si el HIDS detecta un cambio, como la edición de archivos de registro o la alteración de configuraciones, alerta al equipo de seguridad.

Los equipos de seguridad a menudo combinan sistemas de detección de intrusiones basados en red y sistemas de detección de intrusiones basados en host. El NIDS analiza el tráfico en general, mientras que el HIDS puede añadir protección adicional en torno a activos de alto valor. Los HIDS también pueden ayudar a detectar una actividad maliciosa de un nodo de red comprometido, como el ransomware que se propaga desde un dispositivo infectado.

Aunque los NIDS y los HIDS son los más comunes, los equipos de seguridad pueden utilizar otros IDS para fines especializados. Un IDS basado en prototipos (PIDS) monitoriza protocolos de conexión entre servidores y dispositivos. Los PIDS suelen colocarse en servidores web para monitorizar las conexiones HTTP o HTTPS.

Un IDS basado en protocolos de aplicación (APIDS) funciona en la capa de aplicación, supervisando protocolos específicos de la aplicación. A menudo se despliega un APIDS entre un servidor web y una base de datos SQL para detectar inyecciones SQL.

Aunque las soluciones IDS pueden detectar muchas amenazas, los hackers pueden eludirlas. Los proveedores de IDS responden actualizando sus soluciones para tener en cuenta estas tácticas. Sin embargo, estas actualizaciones de solución crean una especie de carrera armamentística en la que hackers e IDS intentan ir un paso por delante de los demás. 

Algunas tácticas comunes de evasión de IDS incluyen:

• Los ataques de denegación de servicio distribuido (DDoS): dejan fuera de línea a los IDS inundándolos con tráfico obviamente malicioso procedente de múltiples fuentes. Cuando los recursos del IDS se ven desbordados por las amenazas señuelo, los hackers se cuelan.

• Suplantación: falsificar direcciones IP y registros DNS para que parezca que el tráfico procede de una fuente fiable.

• Fragmentación: dividir el malware u otras cargas maliciosas en paquetes pequeños, ocultar la firma y evitar la detección. Retrasando estratégicamente los paquetes o enviándolos fuera de orden, los hackers pueden impedir que el IDS los vuelva a ensamblar y se percate del ataque.

• Cifrado: utilizar protocolos cifrados para omitir un IDS si el IDS no tiene la clave de descifrado correspondiente.

• Fatiga del operador: generar un gran número de alertas IDS a propósito para distraer al Equipo de Respuesta a Incidentes de su actividad real.

Los IDS no son herramientas independientes. Están diseñados para formar parte de un sistema holístico de ciberseguridad y suelen estar estrechamente integrados con una o varias de las siguientes soluciones de seguridad.

Las alertas de los IPS suelen enviarse a la SIEM de una organización, donde pueden combinarse con alertas e información de otras herramientas de seguridad en un único panel centralizado. La integración de los IDS con los SIEM permite a los equipos de seguridad enriquecer las alertas de los IDS con información sobre amenazas y datos de otras herramientas, filtrar las falsas alarmas‌ y priorizar los incidentes para su corrección.

Como se ha indicado anteriormente, un IPS monitoriza el tráfico de la red en busca de actividades sospechosas, como un IDS, e intercepta las amenazas en tiempo real terminando automáticamente las conexiones o activando otras herramientas de seguridad. Dado que los IPS están pensados para detener ciberataques, normalmente se colocan en línea, lo que significa que significa que todo el tráfico tiene pasar a través del antes de que pueda llegar al resto de la red.

Algunas organizaciones implementan un IDS y un IPS como soluciones independientes. Más a menudo, IDS e IPS se combinan en un único sistema de detección y prevención de intrusiones (IDPS) que detecta las intrusiones, las registra, alerta a los equipos de seguridad y responde automáticamente.

Los IDS y los firewalls son complementarios. Los firewalls se sitúan fuera de la red y actúan como barreras utilizando reglas predefinidas para permitir o denegar el tráfico. Los IDS a menudo se ubican cerca de firewalls y ayudan a detectar cualquier cosa que se les escape. Algunos firewalls, especialmente los cortafuegos de próxima generación, tienen funciones IDS y IPS incorporadas.