¿Qué es un sistema de prevención de intrusiones (IPS)?

Las soluciones de IPS evolucionaron a partir de los sistemas de detección de intrusiones (IDS), que detectan e informan amenazas al equipo de seguridad. Un IPS tiene las mismas funciones de detección y generación de informes de amenazas que un IDS, más capacidades automatizadas de prevención de amenazas, por lo que a veces se denominan "sistemas de detección y prevención de intrusiones" (IDPS).

Dado que un IPS puede bloquear directamente el tráfico maligno, puede aligerar la carga de trabajo para equipos de seguridad y centros de operaciones de seguridad (SOC), lo que les permite enfocarse en amenazas más complejas. Los IPS pueden ayudar a cumplir las políticas de seguridad de la red bloqueando acciones no autorizadas de usuarios legítimos y pueden apoyar los esfuerzos de cumplimiento. Por ejemplo, un IPS cumple con el requisito del Payment Card Industry Data Security Standard (PCI-DSS) para las medidas de detección de intrusiones.

Los IPS utilizan tres métodos principales de detección de amenazas, exclusivamente o combinados, para analizar el tráfico.

Los métodos de detección basados en firmas analizan paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados con una amenaza específica. Una secuencia de código que aparece en una variante particular de malware es un ejemplo de una firma de ataque.

Un IPS basado en firmas mantiene una base de datos de firmas de ataque con la que compara paquetes de red. Si un paquete desencadena una coincidencia con una de las firmas, el IPS responde. Las bases de datos de firmas deben actualizarse regularmente con nueva inteligencia de amenazas a medida que surgen nuevos ciberataques y los ataques existentes evolucionan. Sin embargo, los nuevos ataques que aún no se analizan en busca de firmas pueden evadir un IPS basado en firmas.

Los métodos de detección basados en anomalías utilizan inteligencia artificial y machine learning para crear y perfeccionar continuamente un modelo de referencia de la actividad normal de la red. El IPS compara la actividad de la red en curso con el modelo y responde cuando encuentra desviaciones, como un proceso que emplea más ancho de banda de lo normal o un dispositivo que abre un puerto que normalmente está cerrado.

Dado que los IPS basados en anomalías responden a cualquier comportamiento anormal, a menudo pueden bloquear ciberataques totalmente nuevos que podrían evadir la detección basada en firmas. Incluso pueden detectar explotaciones de día cero que se benefician de las vulnerabilidades de software antes de que el desarrollador de software las conozca o tenga tiempo de aplicar parches.

Sin embargo, los IPS basados en anomalías pueden ser más propensos a falsos positivos. Incluso una actividad benigna, como un usuario autorizado que accede por primera vez a un recurso sensible de la red, puede activar un IDS basado en anomalías. Como resultado, los usuarios autorizados podrían ser expulsados de la red o tener bloqueadas sus direcciones IP.

Los métodos de detección basados en políticas se basan en las políticas de seguridad establecidas por el equipo de seguridad. Siempre que un IPS basado en políticas detecta una acción que infringe una política de seguridad, bloquea el intento.

Por ejemplo, un SOC puede establecer políticas de control de acceso que dicten qué usuarios y dispositivos pueden acceder a un host. Si un usuario no autorizado intenta conectarse al host, un IPS basado en políticas lo detiene.

Si bien los IPS basados en políticas ofrecen personalización, pueden requerir una inversión inicial significativa. El equipo de seguridad debe crear un conjunto completo de políticas que describan lo que está y no está permitido en toda la red.

Aunque la mayoría de los IPS utilizan los métodos de detección de amenazas descritos anteriormente, algunos utilizan técnicas menos comunes.

La detección basada en la reputación identifica y bloquea el tráfico de direcciones IP y dominios asociados con actividades maliciosas o sospechosas. El análisis de protocolo de estado se centra en el comportamiento del protocolo; por ejemplo, podría identificar un ataque de denegación distribuida del servicio (DDoS) detectando una única dirección IP que realiza muchas solicitudes de conexión TCP simultáneas en un corto periodo.

Cuando un IPS detecta una amenaza, registra el evento y lo informa al SOC, a menudo a través de una herramienta de gestión de eventos e información de seguridad (consulte "IPS y otras soluciones de seguridad").

Pero el IPS no se limita a eso. Toma medidas automáticamente contra la amenaza mediante el uso de técnicas, tales como:

Las soluciones de IPS pueden ser aplicaciones de software instaladas en endpoints, dispositivos de hardware dedicados conectados a la red o entregados como servicios en la nube. Debido a que los IPS deben ser capaces de bloquear la actividad maliciosa en tiempo real, siempre se colocan "en línea" en la red, lo que significa que el tráfico pasa directamente a través del IPS antes de llegar a su destino.

Los IPS se clasifican en función de dónde se encuentran en una red y qué tipo de actividad monitorean. Muchas organizaciones utilizan múltiples tipos de IPS en sus redes.

Un sistema de prevención de intrusiones basado en la red (NIPS) monitorea el tráfico entrante y saliente en los dispositivos a través de la red, inspeccionando paquetes individuales en busca de actividades sospechosas. Los monitores de NIPS están colocados en puntos estratégicos de la red. A menudo, se ubican inmediatamente detrás de cortafuegos en el perímetro de la red para poder detener el paso del tráfico malicioso. Los NIPS también pueden colocarse dentro de la red para supervisar el tráfico hacia y desde activos clave, como centros de datos o dispositivos críticos.

Un sistema de prevención de intrusiones basado en host (HIPS) se instala en un punto final específico, como una computadora portátil o un servidor, y supervisa únicamente el tráfico hacia y desde ese dispositivo. Los HIPS generalmente se utilizan junto con NIPS para agregar seguridad adicional a los activos vitales. Los HIPS también pueden bloquear la actividad maligna de un nodo de red comprometido, como la propagación del ransomware desde un dispositivo infectado.

Las soluciones de análisis de comportamiento de red (NBA) monitorean los flujos de tráfico de red. Las NBA pueden inspeccionar paquetes, como otros IPS, pero muchas NBA se centran en sesiones de comunicación más detalladas, como direcciones IP de origen y destino, puertos utilizados y la cantidad de paquetes transmitidos.

Las NBA utilizan métodos de detección basados en anomalías, marcando y bloqueando cualquier flujo que se desvíe de la norma, como un ataque DDoS en el tráfico o un dispositivo infectado con malware que se comunica con un servidor desconocido.

Un sistema inalámbrico de prevención de intrusiones (WIPS) supervisa los protocolos de red inalámbrica para detectar actividades sospechosas, como usuarios y dispositivos no autorizados que acceden al Wi-Fi de la compañía. Si un WIPS detecta una entidad desconocida en una red inalámbrica, puede terminar la conexión. Un WIPS también puede ayudar a detectar dispositivos mal configurados o inseguros en una red Wi-Fi e interceptar ataques de intermediario, en los que un hacker espía en secreto las comunicaciones de los usuarios.

Si bien los IPS están disponibles como herramientas independientes, están diseñados para integrarse estrechamente con otras soluciones de seguridad como parte de un sistema holístico de ciberseguridad.

Las alertas de IPS a menudo se canalizan hacia la SIEM de una organización, donde se pueden combinar con alertas e información de otras herramientas de seguridad en un solo panel centralizado. La integración de IPS con SIEM permite a los equipos de seguridad enriquecer las alertas de IPS con inteligencia de amenazas adicional, filtrar falsas alarmas y realizar un seguimiento de la actividad de IPS para garantizar que las amenazas se hayan bloqueado correctamente. Los SIEM también pueden ayudar a los SOC a coordinar datos de diferentes tipos de IPS, ya que muchas organizaciones utilizan más de un tipo.

Como se mencionó anteriormente, los IPS evolucionaron de los IDS y tienen muchas de las mismas características. Aunque algunas organizaciones pueden usar soluciones de IPS separadas, la mayoría de los equipos de seguridad despliegan una única solución integrada que ofrece detección robusta, registros, informes y prevención automática de amenazas. Muchos IPS permiten a los equipos de seguridad desactivar las funciones de prevención, lo que les permite actuar como IDS puros si la organización lo desea.

Los IPS sirven como una segunda línea de defensa detrás de los cortafuegos. Los cortafuegos bloquean el tráfico maligno en el perímetro, y los IPS interceptan cualquier cosa que logre incumplir el cortafuegos y entrar en la red. Algunos cortafuegos, especialmente los de próxima generación, tienen funciones IPS incorporadas.