Un sistema de prevención de intrusiones (IPS) supervisa el tráfico de red en busca de amenazas potenciales y las bloquea automáticamente mediante alertas al equipo de seguridad, la terminación de conexiones peligrosas, la eliminación de contenidos maliciosos o la activación de otros dispositivos de seguridad.
Las soluciones IPS evolucionaron a partir de los sistemas de detección de intrusiones (IDS), que detectan e informan de las amenazas al equipo de seguridad. Un IPS tiene las mismas funciones de detección y generación de informes de amenazas que un IDS, además de capacidades automatizadas de prevención de amenazas, por lo que a veces se denominan "sistemas de detección y prevención de intrusiones" (IDPS).
Dado que un IPS puede bloquear directamente el tráfico malicioso, puede aligerar la carga de trabajo de los equipos de seguridad y los centros de operaciones de seguridad (SOC), permitiéndoles centrarse en amenazas más complejas. Los IPS pueden ayudar a hacer cumplir las políticas de seguridad de redes bloqueando acciones no autorizadas de usuarios legítimos, y pueden apoyar los esfuerzos de cumplimiento. Por ejemplo, un IPS cumple los requisitos del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS) en cuanto a medidas de detección de intrusiones.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe Coste de una filtración de datos.
Los IPS utilizan tres métodos principales de detección de amenazas, de forma exclusiva o en combinación, para analizar el tráfico.
Los métodos de detección basados en firmas analizan los paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados a una amenaza específica. Una secuencia de código que aparece en una variante de malware particular es un ejemplo de firma de ataque.
Un IPS basado en firmas mantiene una base de datos de firmas de ataque con las que compara los paquetes de red. Si un paquete coincide con una de las firmas, el IPS responde. Las bases de datos de firmas deben actualizarse regularmente con nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y evolucionan los ataques existentes. Sin embargo, los nuevos ataques que aún no están en busca de firmas pueden evadir un IPS basado en firmas.
Los métodos de detección basados en anomalías utilizan la inteligencia artificial y el machine learning para crear y perfeccionar continuamente un modelo de referencia de la actividad normal de la red. El IPS compara la actividad de red en curso con el modelo y responde cuando encuentra desviaciones, como un proceso que usa más ancho de banda de lo normal o un dispositivo que abre un puerto que generalmente está cerrado.
Dado que los IPS basados en anomalías responden a cualquier comportamiento anómalo, a menudo pueden bloquear ciberataques totalmente nuevos que podrían eludir la detección basada en firmas. Incluso pueden detectar exploits de día cero, es decir, ataques que aprovechan vulnerabilidades del software antes de que el desarrollador las conozca o haya tenido tiempo de parchearlas.
Sin embargo, los IPS basados en anomalías pueden ser más propensos a falsos positivos. Incluso una actividad benigna, como el acceso por primera vez de un usuario autorizado a un recurso sensible de la red, puede activar un IPS basado en anomalías. Como resultado, los usuarios autorizados podrían ser expulsados de la red o ver bloqueada su dirección IP.
Los métodos de detección basados en políticas se basan en las políticas de seguridad establecidas por el equipo de seguridad. Siempre que un IPS basado en políticas detecta una acción que viola una política de seguridad, la bloquea.
Por ejemplo, un SOC puede establecer políticas de control de acceso que dicten qué usuarios y dispositivos pueden acceder a un host. Si un usuario no autorizado intenta conectarse al host, un basado en directivas los detendrá el IPS.
Aunque los IPS basados en políticas ofrecen personalización, pueden requerir una importante inversión inicial. El equipo de seguridad debe crear un conjunto completo de políticas que describan lo que está y no está permitido en toda la red.
Aunque la mayoría de los IPS utilizan los métodos de detección de amenazas descritos anteriormente, algunos utilizan técnicas menos comunes.
La detección basada en la reputación marca y bloquea el tráfico de las direcciones IP y los dominios que están asociados a actividades malintencionadas o sospechosas. El análisis de protocolos con seguimiento de estado se centra en el comportamiento del protocolo; por ejemplo, puede identificar un ataque de denegación de servicio distribuido (DDoS) detectando una única dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un breve periodo de tiempo.
Cuando un IPS detecta una amenaza, registra el evento y lo informa al SOC, a menudo mediante una herramienta de gestión de eventos e información de seguridad (SIEM) (consulte "IPS y otras soluciones de seguridad" a continuación).
Pero el IPS no se queda ahí. Automáticamente toma medidas contra la amenaza utilizando técnicas como:
Un IPS puede finalizar la sesión de un usuario, bloquear una dirección IP específica o incluso bloquear todo el tráfico hacia un objetivo. Algunos IPS pueden redirigir el tráfico a un "honeypot", un señuelo que engaña a los hackers haciéndoles creer que han tenido éxito cuando en realidad el SOC les está vigilando.
Un IPS puede permitir que el tráfico continúe, pero eliminando las partes peligrosas, por ejemplo, descartando los paquetes maliciosos de un flujo o eliminando un archivo adjunto malicioso de un correo electrónico.
Un IPS puede incitar a otros dispositivos de seguridad a actuar, por ejemplo actualizando las reglas del cortafuegos para bloquear una amenaza o cambiando la configuración del router para impedir que los hackers alcancen sus objetivos.
Algunos IPS pueden impedir que atacantes y usuarios no autorizados hagan algo que infrinja las políticas de seguridad de la empresa. Por ejemplo, si un usuario intenta transferir información sensible fuera de una base de datos de la que se supone que no debe salir, el IPS lo bloquearía.
Las soluciones IPS pueden ser aplicaciones de software instaladas en endpoints, dispositivos de hardware específicos conectados a la red o suministrados como servicios en la nube. Dado que los IPS deben ser capaces de bloquear la actividad maliciosa en tiempo real, siempre se colocan "en línea" en la red, lo que significa que el tráfico pasa directamente a través del IPS antes de llegar a su destino.
Los IPS se clasifican en función de su ubicación en la red y del tipo de actividad que supervisan. Muchas organizaciones utilizan varios tipos de IPS en sus redes.
Un sistema de prevención de intrusiones basado en la red (NIPS) monitoriza el tráfico entrante y saliente a los dispositivos de toda la red, inspeccionando paquetes individuales para detectar actividades sospechosas. Los monitores NIPS están colocados en puntos estratégicos de la red. A menudo se sitúan inmediatamente detrás de los firewalls en el perímetro de la red para poder detener el tráfico malicioso. El NIPS también se puede colocar dentro de la red para monitorizar el tráfico hacia y desde activos clave, como centros de datos o dispositivos cruciales.
Un sistema de prevención de intrusiones basado en host (HIPS) se instala en un endpoint específico, como un ordenador portátil o un servidor, y monitoriza únicamente el tráfico hacia y desde ese dispositivo. Los HIPS se suelen utilizar junto con los NIPS para añadir seguridad adicional a los activos más importantes. Los HIPS también pueden bloquear la actividad maliciosa de un nodo de red comprometido, como el ransomware que se propaga desde un dispositivo infectado.
Las soluciones de análisis de comportamiento de red (NBA) monitorizan los flujos de tráfico de red. Los NBA pueden inspeccionar paquetes como otros IPS, pero muchos de ellos se centran en detalles de más alto nivel de las sesiones de comunicación, como las direcciones IP de origen y destino, los puertos utilizados y el número de paquetes transmitidos.
Los NBA utilizan métodos de detección basados en anomalías, que marcan y bloquean cualquier flujo que se desvíe de la norma, como un ataque DDoS al tráfico o un dispositivo infectado con malware que se comunica con un servidor de mando y control desconocido.
Un sistema de prevención de intrusiones inalámbricas (WIPS, por sus siglas en inglés) supervisa los protocolos de red inalámbrica en busca de actividades sospechosas, como usuarios y dispositivos no autorizados que acceden a la wifi de la empresa. Si un WIPS detecta una entidad desconocida en una red inalámbrica, puede terminar la conexión. Un WIPS también puede ayudar a detectar dispositivos mal configurados o inseguros en una red Wi-Fi e interceptar posibles ataques, en los que un hacker espía en secreto las comunicaciones de los usuarios.
Aunque los IPS están disponibles como herramientas independientes, están diseñados para integrarse estrechamente con otras soluciones de seguridad como parte de un sistema holístico de ciberseguridad.
Las alertas de los IPS suelen enviarse a la SIEM de una organización, donde pueden combinarse con alertas e información de otras herramientas de seguridad en un único panel de control centralizado. La integración de los IPS con los SIEM permite a los equipos de seguridad enriquecer las alertas de los IPS con más inteligencia de amenazas, filtrar las falsas alarmas y realizar un seguimiento de la actividad de los IPS para asegurarse de que las amenazas se han bloqueado con éxito. Las SIEM también pueden ayudar a los SOC a coordinar los datos de distintos tipos de IPS, ya que muchas organizaciones utilizan más de uno.
Como se ha mencionado anteriormente, los IPS evolucionaron de los IDS y comparten muchas características. Aunque algunas organizaciones pueden utilizar soluciones IPS e IDS por separado, la mayoría de los equipos de seguridad despliegan una única solución integrada que ofrece detección robusta, registros, informes y informes automáticos prevención amenazas. Muchos IPS permiten a los equipos de seguridad desconectar las funciones de prevención, lo que les permite actuar como IDS puros si la organización lo desea.
Los IPS sirven como una segunda línea de defensa detrás de los cortafuegos. Los cortafuegos bloquean el tráfico malicioso en el perímetro, y los IPS interceptan todo lo que consigue traspasar el cortafuegos y entrar en la red. Algunos cortafuegos, especialmente los cortafuegos de próxima generación, tienen funciones IPS incorporadas.
Obtenga la protección de seguridad que su organización necesita para mejorar la preparación ante infracciones con una suscripción de retención de IBM. El equipo de élite de consultores de RI son sus socios de confianza a la espera para ayudarle a reducir el tiempo de respuesta ante incidentes, minimizar el impacto y ayudarle a recuperarse más rápidamente antes de que se sospeche un incidente de ciberseguridad.
Impida que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan los ataques. El enfoque de confianza cero le ayuda a detectar y responder al ransomware más rápido y a minimizar el impacto de los ataques de ransomware.
A medida que crecen las redes de la empresa, también lo hace el riesgo de ciberataque. Descubra cómo las soluciones de seguridad de red protegen los sistemas informáticos de las amenazas de seguridad internas y externas.
La SIEM supervisa y analiza en tiempo real los sucesos relacionados con la seguridad, y registra y rastrea los datos de seguridad con fines de cumplimiento o auditoría.
La NDR utiliza inteligencia artificial, aprendizaje automático y análisis del comportamiento para detectar y responder a actividades sospechosas en la red.