Un sistema de prevención de intrusiones (IPS) supervisa el tráfico de red para detectar posibles amenazas y actúa automáticamente para bloquearlas alertando al equipo de seguridad, terminando conexiones peligrosas, eliminando contenido maligno o activando otros dispositivos de seguridad.
Las soluciones IPS evolucionaron de los sistemas de detección de intrusiones (IDS), que detectan e informan amenazas al equipo de seguridad. Un IPS tiene las mismas funciones de detección y elaboración de informes de amenazas que un IDS, además tiene capacidades automatizadas de prevención de amenazas, por lo que los IPS a veces se denominan "sistemas de detección y prevención de intrusiones" (IDPS).
Dado que un IPS puede bloquear directamente el tráfico maligno, puede aligerar la carga de trabajo para equipos de seguridad y centros de operaciones de seguridad (SOC), lo que les permite enfocarse en amenazas más complejas. Los IPS pueden ayudar a cumplir las políticas de seguridad de la red bloqueando acciones no autorizadas de usuarios legítimos y pueden apoyar los esfuerzos de cumplimiento. Por ejemplo, un IPS cumpliría con el requisito del Payment Card Industry Data Security Standard (PCI-DSS) para las medidas de detección de intrusiones.
Los IPS utilizan tres métodos principales de detección de amenazas, exclusivamente o combinados, para analizar el tráfico.
Los métodos de detección basados en firmas analizan paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados con una amenaza específica. Una secuencia de código que aparece en una variante particular de malware es un ejemplo de una firma de ataque.
Un IPS basado en firmas mantiene una base de datos de firmas de ataque con la que compara paquetes de red. Si un paquete activa una coincidencia con una de las firmas, el IPS actúa. Las bases de datos de firmas deben actualizarse regularmente con nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y los ataques existentes evolucionan. Sin embargo, los nuevos ataques que aún no se han analizado para firmas pueden evadir un IPS basado en firmas.
Los métodos de detección basados en anomalías utilizan inteligencia artificial y aprendizaje automático para crear y perfeccionar continuamente un modelo de referencia de la actividad normal de la red. El IPS compara la actividad de red en curso con el modelo y entra en acción cuando encuentra desviaciones, como un proceso que usa más ancho de banda de lo normal o un dispositivo que abre un puerto que normalmente está cerrado.
Dado que los IPS basados en anomalías responden a cualquier comportamiento anormal, a menudo pueden bloquear ciberataques totalmente nuevos que podrían evadir la detección basada en firmas. Incluso pueden detectar ataques de cero días que aprovechan las vulnerabilidades de software antes de que el desarrollador de software los conozca o tenga tiempo de repararlos.
Sin embargo, los IPS basados en anomalías pueden ser más propensos a falsos positivos. Incluso una actividad inofensiva, como un usuario autorizado que accede a un recurso de red sensible por primera vez, puede activar un IPS basado en anomalías. Como resultado, los usuarios autorizados podrían ser expulsados de la red o tener bloqueadas sus direcciones IP.
Los métodos de detección basados en políticas se basan en las políticas de seguridad establecidas por el equipo de seguridad. Siempre que un IPS basado en políticas detecta una acción que infringe una política de seguridad, bloquea el intento.
Por ejemplo, un SOC puede establecer políticas de control de acceso que dicten qué usuarios y dispositivos pueden acceder a un host. Si un usuario no autorizado intenta conectarse al host, un IPS basado en políticas lo detendrá.
Si bien los IPS basados en políticas ofrecen personalización, pueden requerir una inversión inicial significativa. El equipo de seguridad debe crear un conjunto completo de políticas que describan lo que está y no está permitido en toda la red.
Aunque la mayoría de los IPS utilizan los métodos de detección de amenazas descritos anteriormente, algunos utilizan técnicas menos comunes.
La detección basada en reputación señala y bloquea el tráfico de direcciones IP y dominios asociados con actividades malignas o sospechosas. El análisis de protocolo de estado se centra en el comportamiento del protocolo; por ejemplo, podría identificar un ataque de denegación distribuida del servicio (DDoS) detectando una única dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un corto periodo de tiempo.
Cuando un IPS detecta una amenaza, registra el evento y lo reporta al SOC, a menudo a través de una herramienta de gestión de eventos e información de seguridad (SIEM) (consulte "IPS y otras soluciones de seguridad" a continuación).
Pero el IPS no se queda ahí. Automáticamente toma medidas contra la amenaza, utilizando técnicas como:
Un IPS puede finalizar la sesión de un usuario, bloquear una dirección IP específica o incluso bloquear todo el tráfico hacia un destino. Algunos IPS pueden redirigir el tráfico a un honeypot, un recurso decoy que hace que los hackers piensen que han tenido éxito cuando, en realidad, el SOC los está viendo.
Un IPS puede permitir que el tráfico continúe, pero elimina las partes peligrosas, por ejemplo, descartando los paquetes malignos de un flujo o eliminando un archivo adjunto maligno de un correo electrónico.
Un IPS puede solicitar que otros dispositivos de seguridad actúen, por ejemplo, actualizando reglas de firewall para bloquear una amenaza o cambiar la configuración del enrutador para evitar que los hackers alcancen sus objetivos.
Algunos IPS pueden evitar que los atacantes y usuarios no autorizados hagan algo que infrinja las políticas de seguridad de la empresa. Por ejemplo, si un usuario intenta transferir información confidencial fuera de una base de datos de la que se supone que no debe salir, el IPS lo bloquearía.
Las soluciones IPS pueden ser aplicaciones de software instaladas en endpoints, dispositivos de hardware conectados a la red o entregados como servicios en la nube. Debido a que los IPS deben ser capaces de bloquear la actividad maligna en tiempo real, siempre se colocan "en línea" en la red, lo que significa que el tráfico pasa directamente a través del IPS antes de llegar a su destino.
Los IPS se clasifican en función de dónde se encuentran en una red y qué tipo de actividad supervisan. Muchas organizaciones utilizan múltiples tipos de IPS en sus redes.
Un sistema de prevención de intrusiones basado en la red (NIPS) supervisa el tráfico entrante y saliente en los dispositivos a través de la red, inspeccionando paquetes individuales en busca de actividades sospechosas. Los NIPS se colocan en puntos estratégicos de la red. A menudo se sitúan inmediatamente detrás de los cortafuegos en el perímetro de la red para poder detener el tráfico maligno que se cuela. Los NIPS también pueden colocarse dentro de la red para supervisar el tráfico hacia y desde activos clave, como centros de datos críticos o dispositivos.
Un sistema de prevención de intrusiones basado en host (HIPS) se instala en un punto final específico, como una computadora portátil o un servidor, y supervisa únicamente el tráfico hacia y desde ese dispositivo. Los HIPS generalmente se utilizan junto con NIPS para agregar seguridad adicional a los activos vitales. Los HIPS también pueden bloquear la actividad maligna de un nodo de red comprometido, como la propagación del ransomware desde un dispositivo infectado.
Las soluciones de análisis de comportamiento de red (NBA) supervisan los flujos de tráfico de red. Si bien los NBA pueden inspeccionar paquetes como otros IPS, muchos NBA se centran en detalles de alto nivel de sesiones de comunicación, como direcciones IP de origen y destino, puertos utilizados y la cantidad de paquetes transmitidos.
Los NBA utilizan métodos de detección basados en anomalías, marcando y bloqueando cualquier flujo que se desvíe de la norma, como el tráfico de ataque DDoS o un dispositivo infectado con malware que se comunica con un servidor de comando y control desconocido.
Un sistema inalámbrico de prevención de intrusiones (WIPS) supervisa los protocolos de red inalámbrica para detectar actividades sospechosas, como usuarios y dispositivos no autorizados que acceden al Wi-Fi de la compañía. Si un WIPS detecta una entidad desconocida en una red inalámbrica, puede terminar la conexión. Un WIPS también puede ayudar a detectar dispositivos mal configurados o inseguros en una red Wi-Fi e interceptar ataques de intermediario, en los que un hacker espía en secreto las comunicaciones de los usuarios.
Si bien los IPS están disponibles como herramientas independientes, están diseñados para integrarse estrechamente con otras soluciones de seguridad como parte de un sistema holístico de ciberseguridad.
Las alertas IPS a menudo se canalizan hacia la SIEM de una organización, donde se pueden combinar con alertas e información de otras herramientas de seguridad en un solo panel de control centralizado. La integración de IPS con SIEM permite a los equipos de seguridad enriquecer las alertas IPS con inteligencia de amenazas adicional, filtrar falsas alarmas y realizar un seguimiento de la actividad de IPS para garantizar que las amenazas se hayan bloqueado correctamente. Los SIEM también pueden ayudar a los a SOC a coordinar datos de diferentes tipos de IPS, ya que muchas organizaciones utilizan más de un tipo.
Como se mencionó anteriormente, los IPS evolucionaron de los IDS y tienen muchas de las mismas características. Aunque algunas organizaciones pueden usar soluciones IPS e IDS separadas, la mayoría de los equipos de seguridad despliegan una única solución integrada que ofrece detección robusta, registros, informes y prevención automática de amenazas. Muchos IPS permiten a los equipos de seguridad desactivar las funciones de prevención, lo que les permite actuar como IDS puros si la organización lo desea.
Los IPS sirven como una segunda línea de defensa detrás de los cortafuegos. Los cortafuegos bloquean el tráfico maligno en el perímetro, y los IPS interceptan cualquier cosa que logre incumplir el cortafuegos y entrar en la red. Algunos cortafuegos, especialmente los de próxima generación, tienen funciones IPS incorporadas.
Detecte amenazas ocultas que acechan en su red, antes de que sea demasiado tarde. IBM Security QRadar Network Detection and Response (NDR) ayuda a sus equipos de seguridad analizando la actividad de la red en tiempo real. Combina la profundidad y la amplitud de la visibilidad con datos y análisis de alta calidad para impulsar insights y una respuesta procesables.
Obtenga la protección de seguridad que su organización necesita para mejorar la preparación de las infracciones con una suscripción de retenedores de respuesta ante incidentes de IBM® Security. Cuando se involucra con nuestro equipo de élite de consultores de IR, tiene socios de confianza en espera para ayudar a reducir el tiempo que lleva responder a un incidente, minimizar su impacto y ayudarlo a recuperarse más rápido antes de que se sospeche un incidente de ciberseguridad.
Evite que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan ataques, con un enfoque de confianza cero que le ayuda a detectar y responder al ransomware más rápido y minimizar el impacto de los ataques de ransomware.