Inicio Topics Sistema de prevención de intrusiones ¿Qué es un sistema de prevención de intrusiones (IPS)?
Explore la solución IPS de IBM Suscríbase a las noticias sobre seguridad
Dibujo isométrico que muestra diferentes trabajadores en oficina, todos usando IBM Security
¿Qué es un IPS?

Un sistema de prevención de intrusiones (IPS) supervisa el tráfico de red en busca de amenazas potenciales y las bloquea automáticamente mediante alertas al equipo de seguridad, la terminación de conexiones peligrosas, la eliminación de contenidos maliciosos o la activación de otros dispositivos de seguridad. 

Las soluciones IPS evolucionaron a partir de los sistemas de detección de intrusiones (IDS), que detectan e informan de las amenazas al equipo de seguridad. Un IPS tiene las mismas funciones de detección y generación de informes de amenazas que un IDS, además de capacidades automatizadas de prevención de amenazas, por lo que a veces se denominan "sistemas de detección y prevención de intrusiones" (IDPS).

Dado que un IPS puede bloquear directamente el tráfico malicioso, puede aligerar la carga de trabajo de los equipos de seguridad y los centros de operaciones de seguridad (SOC), permitiéndoles centrarse en amenazas más complejas. Los IPS pueden ayudar a hacer cumplir las políticas de seguridad de redes bloqueando acciones no autorizadas de usuarios legítimos, y pueden apoyar los esfuerzos de cumplimiento. Por ejemplo, un IPS cumple los requisitos del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS) en cuanto a medidas de detección de intrusiones.

Coste de la vulneración de datos

Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe Coste de una filtración de datos.

Métodos de detección de amenazas IPS

Los IPS utilizan tres métodos principales de detección de amenazas, de forma exclusiva o en combinación, para analizar el tráfico.

Detección basada en firmas 

Los métodos de detección basados en firmas analizan los paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados a una amenaza específica. Una secuencia de código que aparece en una variante de malware particular es un ejemplo de firma de ataque.

Un IPS basado en firmas mantiene una base de datos de firmas de ataque con las que compara los paquetes de red. Si un paquete coincide con una de las firmas, el IPS responde. Las bases de datos de firmas deben actualizarse regularmente con nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y evolucionan los ataques existentes. Sin embargo, los nuevos ataques que aún no están en busca de firmas pueden evadir un IPS basado en firmas.

Detección basada en anomalías

Los métodos de detección basados en anomalías utilizan la inteligencia artificial y el machine learning para crear y perfeccionar continuamente un modelo de referencia de la actividad normal de la red. El IPS compara la actividad de red en curso con el modelo y responde cuando encuentra desviaciones, como un proceso que usa más ancho de banda de lo normal o un dispositivo que abre un puerto que generalmente está cerrado.

Dado que los IPS basados en anomalías responden a cualquier comportamiento anómalo, a menudo pueden bloquear ciberataques totalmente nuevos que podrían eludir la detección basada en firmas. Incluso pueden detectar exploits de día cero, es decir, ataques que aprovechan vulnerabilidades del software antes de que el desarrollador las conozca o haya tenido tiempo de parchearlas.

Sin embargo, los IPS basados en anomalías pueden ser más propensos a falsos positivos. Incluso una actividad benigna, como el acceso por primera vez de un usuario autorizado a un recurso sensible de la red, puede activar un IPS basado en anomalías. Como resultado, los usuarios autorizados podrían ser expulsados de la red o ver bloqueada su dirección IP. 

Detección basada en políticas

Los métodos de detección basados en políticas se basan en las políticas de seguridad establecidas por el equipo de seguridad. Siempre que un IPS basado en políticas detecta una acción que viola una política de seguridad, la bloquea.

Por ejemplo, un SOC puede establecer políticas de control de acceso que dicten qué usuarios y dispositivos pueden acceder a un host. Si un usuario no autorizado intenta conectarse al host, un basado en directivas los detendrá el IPS.

Aunque los IPS basados en políticas ofrecen personalización, pueden requerir una importante inversión inicial. El equipo de seguridad debe crear un conjunto completo de políticas que describan lo que está y no está permitido en toda la red. 

Métodos de detección de amenazas menos comunes

Aunque la mayoría de los IPS utilizan los métodos de detección de amenazas descritos anteriormente, algunos utilizan técnicas menos comunes.

La detección basada en la reputación marca y bloquea el tráfico de las direcciones IP y los dominios que están asociados a actividades malintencionadas o sospechosas. El análisis de protocolos con seguimiento de estado se centra en el comportamiento del protocolo; por ejemplo, puede identificar un ataque de denegación de servicio distribuido (DDoS) detectando una única dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un breve periodo de tiempo.

Métodos de prevención de amenazas IPS

Cuando un IPS detecta una amenaza, registra el evento y lo informa al SOC, a menudo mediante una herramienta de gestión de eventos e información de seguridad (SIEM) (consulte "IPS y otras soluciones de seguridad" a continuación).

Pero el IPS no se queda ahí. Automáticamente toma medidas contra la amenaza utilizando técnicas como: 

Bloqueo de tráfico malicioso

Un IPS puede finalizar la sesión de un usuario, bloquear una dirección IP específica o incluso bloquear todo el tráfico hacia un objetivo. Algunos IPS pueden redirigir el tráfico a un "honeypot", un señuelo que engaña a los hackers haciéndoles creer que han tenido éxito cuando en realidad el SOC les está vigilando. 

Eliminación de contenido malicioso

Un IPS puede permitir que el tráfico continúe, pero eliminando las partes peligrosas, por ejemplo, descartando los paquetes maliciosos de un flujo o eliminando un archivo adjunto malicioso de un correo electrónico.

Activación de otros dispositivos de seguridad

Un IPS puede incitar a otros dispositivos de seguridad a actuar, por ejemplo actualizando las reglas del cortafuegos para bloquear una amenaza o cambiando la configuración del router para impedir que los hackers alcancen sus objetivos.

Aplicación de políticas de seguridad

Algunos IPS pueden impedir que atacantes y usuarios no autorizados hagan algo que infrinja las políticas de seguridad de la empresa. Por ejemplo, si un usuario intenta transferir información sensible fuera de una base de datos de la que se supone que no debe salir, el IPS lo bloquearía. 

Tipos de sistemas de prevención de intrusiones

Las soluciones IPS pueden ser aplicaciones de software instaladas en endpoints, dispositivos de hardware específicos conectados a la red o suministrados como servicios en la nube. Dado que los IPS deben ser capaces de bloquear la actividad maliciosa en tiempo real, siempre se colocan "en línea" en la red, lo que significa que el tráfico pasa directamente a través del IPS antes de llegar a su destino.

Los IPS se clasifican en función de su ubicación en la red y del tipo de actividad que supervisan. Muchas organizaciones utilizan varios tipos de IPS en sus redes. 

Sistemas de prevención de intrusiones basados en red (NIPS)

Un sistema de prevención de intrusiones basado en la red (NIPS) monitoriza el tráfico entrante y saliente a los dispositivos de toda la red, inspeccionando paquetes individuales para detectar actividades sospechosas. Los monitores NIPS están colocados en puntos estratégicos de la red. A menudo se sitúan inmediatamente detrás de los firewalls en el perímetro de la red para poder detener el tráfico malicioso. El NIPS también se puede colocar dentro de la red para monitorizar el tráfico hacia y desde activos clave, como centros de datos o dispositivos cruciales. 

Sistemas de prevención de intrusiones basados en host (HIPS)

Un sistema de prevención de intrusiones basado en host (HIPS) se instala en un endpoint específico, como un ordenador portátil o un servidor, y monitoriza únicamente el tráfico hacia y desde ese dispositivo. Los HIPS se suelen utilizar junto con los NIPS para añadir seguridad adicional a los activos más importantes. Los HIPS también pueden bloquear la actividad maliciosa de un nodo de red comprometido, como el ransomware que se propaga desde un dispositivo infectado. 

Análisis de comportamiento de red (NBA)

Las soluciones de análisis de comportamiento de red (NBA) monitorizan los flujos de tráfico de red. Los NBA pueden inspeccionar paquetes como otros IPS, pero muchos de ellos se centran en detalles de más alto nivel de las sesiones de comunicación, como las direcciones IP de origen y destino, los puertos utilizados y el número de paquetes transmitidos.

Los NBA utilizan métodos de detección basados en anomalías, que marcan y bloquean cualquier flujo que se desvíe de la norma, como un ataque DDoS al tráfico o un dispositivo infectado con malware que se comunica con un servidor de mando y control desconocido.

Sistemas inalámbricos de prevención de intrusiones (WIPS)

Un sistema de prevención de intrusiones inalámbricas (WIPS, por sus siglas en inglés) supervisa los protocolos de red inalámbrica en busca de actividades sospechosas, como usuarios y dispositivos no autorizados que acceden a la wifi de la empresa. Si un WIPS detecta una entidad desconocida en una red inalámbrica, puede terminar la conexión. Un WIPS también puede ayudar a detectar dispositivos mal configurados o inseguros en una red Wi-Fi e interceptar posibles ataques, en los que un hacker espía en secreto las comunicaciones de los usuarios.

IPS y otras soluciones de seguridad

Aunque los IPS están disponibles como herramientas independientes, están diseñados para integrarse estrechamente con otras soluciones de seguridad como parte de un sistema holístico de ciberseguridad.

IPS y SIEM (información de seguridad y gestión de eventos)

Las alertas de los IPS suelen enviarse a la SIEM de una organización, donde pueden combinarse con alertas e información de otras herramientas de seguridad en un único panel de control centralizado. La integración de los IPS con los SIEM permite a los equipos de seguridad enriquecer las alertas de los IPS con más inteligencia de amenazas, filtrar las falsas alarmas y realizar un seguimiento de la actividad de los IPS para asegurarse de que las amenazas se han bloqueado con éxito. Las SIEM también pueden ayudar a los SOC a coordinar los datos de distintos tipos de IPS, ya que muchas organizaciones utilizan más de uno. 

IPS e IDS (sistema de detección de intrusiones)

Como se ha mencionado anteriormente, los IPS evolucionaron de los IDS y comparten muchas características. Aunque algunas organizaciones pueden utilizar soluciones IPS e IDS por separado, la mayoría de los equipos de seguridad despliegan una única solución integrada que ofrece detección robusta, registros, informes y informes automáticos prevención amenazas. Muchos IPS permiten a los equipos de seguridad desconectar las funciones de prevención, lo que les permite actuar como IDS puros si la organización lo desea. 

IPS y cortafuegos

Los IPS sirven como una segunda línea de defensa detrás de los cortafuegos. Los cortafuegos bloquean el tráfico malicioso en el perímetro, y los IPS interceptan todo lo que consigue traspasar el cortafuegos y entrar en la red. Algunos cortafuegos, especialmente los cortafuegos de próxima generación, tienen funciones IPS incorporadas.

Soluciones relacionadas
Equipo de respuesta a incidentes de X-Force

Obtenga la protección de seguridad que su organización necesita para mejorar la preparación ante infracciones con una suscripción de retención de IBM. El equipo de élite de consultores de RI son sus socios de confianza a la espera para ayudarle a reducir el tiempo de respuesta ante incidentes, minimizar el impacto y ayudarle a recuperarse más rápidamente antes de que se sospeche un incidente de ciberseguridad.

Descubra la respuesta ante incidentes de X-Force

Soluciones de protección contra ransomware

Impida que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan los ataques. El enfoque de confianza cero le ayuda a detectar y responder al ransomware más rápido y a minimizar el impacto de los ataques de ransomware.

Explore las soluciones de protección contra ransomware
Recursos ¿Qué es la seguridad de red?

A medida que crecen las redes de la empresa, también lo hace el riesgo de ciberataque. Descubra cómo las soluciones de seguridad de red protegen los sistemas informáticos de las amenazas de seguridad internas y externas.

¿Qué es la gestión de eventos e información de seguridad (SIEM)?

La SIEM supervisa y analiza en tiempo real los sucesos relacionados con la seguridad, y registra y rastrea los datos de seguridad con fines de cumplimiento o auditoría.

¿Qué es la detección y respuesta de red (NDR)?

La NDR utiliza inteligencia artificial, aprendizaje automático y análisis del comportamiento para detectar y responder a actividades sospechosas en la red.

Dé el siguiente paso

Los servicios de ciberseguridad de IBM ofrecen servicios de asesoramiento, integración y seguridad gestionada, así como capacidades ofensivas y defensivas. Combinamos un equipo global de expertos con tecnología propia y de socios para crear conjuntamente programas de seguridad personalizados que gestionen el riesgo.

Explore los servicios de ciberseguridad Suscríbase al boletín de Think