¿Qué es la detección y prevención de intrusiones en la red?
Un sistema de detección y prevención de intrusiones en la red (IDPS) representa la intersección entre la detección y la prevención de intrusiones. Supervisa y analiza el tráfico de red en busca de actividades sospechosas o anómalas. La identificación de una amenaza potencial se basa en una combinación de aprendizaje profundo y reglas predefinidas.
A veces, esto puede implicar el envío de una alerta a un administrador de red. El IDPS puede bloquear el tráfico de la dirección de origen o incluso recurrir a otras soluciones de ciberseguridad para mitigar un posible ataque. Algunas soluciones IDPS pueden incluso neutralizar ataques eliminando software o código malicioso.
Como la mayoría de los delincuentes, los actores de amenazas trabajan mejor cuando pueden operar en la sombra, lejos de las miradas indiscretas de los equipos de seguridad. Permitirles que lo hagan no es una opción. Su trabajo consiste en iluminar a los atacantes y detenerlos en seco.
Los sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusos (IPS) juntos permiten hacer precisamente eso.
Tipos de detección y prevención de intrusiones
Inalámbrico
Basado en host
Análisis del comportamiento de la red
Tipos de detección y prevención de intrusiones
Como su nombre indica, la funcionalidad de un IDP tiene dos vertientes: la detección y la prevención. O, dicho de otro modo, cómo el sistema identifica y remedia las amenazas. Según el Instituto Nacional de Estándares y Tecnología, hay tres clases principales de metodologías de detección.
1. La detección basada en firmas se basa en la comparación de patrones de actividad o comportamiento con amenazas conocidas. Esto podría incluir características conocidas de malware, configuraciones anormales del sistema o violaciones aparentes de la política de seguridad de una organización. El principal defecto de la detección basada en firmas es que no es capaz de comprender o evaluar comunicaciones complejas ni de reconocer una amenaza desconocida hasta el momento.
2. La detección basada en anomalías compara la actividad de la red con una línea de base establecida, señalando cualquier desviación como potencialmente maliciosa. El único inconveniente real de la detección basada en anomalías es que requiere tiempo para entrenar al sistema y establecer un perfil de comportamiento para cada entidad de una red. Un usuario inexperto también podría incluir inadvertidamente actividad maliciosa como parte de un perfil.
3. El análisis de protocolos con seguimiento de estado es similar a la detección basada en anomalías, con la salvedad de que aprovecha los perfiles de comportamiento desarrollados por los proveedores, que pueden aplicarse universalmente. Aunque pueden consumir muchos recursos, a menudo identifican ataques que otros métodos pasan por alto. Dicho esto, es posible engañar a un sistema de análisis de protocolos con seguimiento de estado enmascarando la actividad maliciosa con un comportamiento de protocolo aceptable.
Las capacidades de prevención pueden ser pasivas o activas e incluyen:
- Finalizar una sesión TPC
- Activar un cortafuegos en línea
- Limitación del uso del ancho de banda
- Alteración o eliminación de contenidos maliciosos
- Reconfiguración de los dispositivos de seguridad de la red
- Activación de un script o programa de terceros
Sistema de detección de intrusiones frente a sistema de prevención de intrusiones
CylanceGATEWAY™ es Zero Trust Network Access (ZTNA) potenciado por IA. Permite a su personal remoto establecer una conectividad de red segura desde cualquier dispositivo (gestionado o no) a cualquier aplicación en la nube o en las instalaciones, a través de cualquier red. Esta solución ZTNA nativa de la nube proporciona acceso escalable solo saliente a cualquier aplicación, al tiempo que oculta los activos críticos de usuarios no autorizados, lo que minimiza las áreas de superficie de ataque.
La arquitectura multiinquilino de CylanceGATEWAY está diseñada para la transformación digital y el trabajo distribuido. Su potente IA y aprendizaje automático mejoran su postura de seguridad y simplifican la configuración y gestión de políticas de seguridad y controles de acceso granulares y dinámicos.