Detección y prevención de intrusiones en la red

¿Qué es la detección y prevención de intrusiones en la red?

Un sistema de detección y prevención de intrusiones en la red (IDPS) representa la intersección entre la detección y la prevención de intrusiones. Supervisa y analiza el tráfico de red en busca de actividades sospechosas o anómalas. La identificación de una amenaza potencial se basa en una combinación de aprendizaje profundo y reglas predefinidas.  

A veces, esto puede implicar el envío de una alerta a un administrador de red. El IDPS puede bloquear el tráfico de la dirección de origen o incluso recurrir a otras soluciones de ciberseguridad para mitigar un posible ataque. Algunas soluciones IDPS pueden incluso neutralizar ataques eliminando software o código malicioso.

Como la mayoría de los delincuentes, los actores de amenazas trabajan mejor cuando pueden operar en la sombra, lejos de las miradas indiscretas de los equipos de seguridad. Permitirles que lo hagan no es una opción. Su trabajo consiste en iluminar a los atacantes y detenerlos en seco.

Los sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusos (IPS) juntos permiten hacer precisamente eso.

Tipos de detección y prevención de intrusiones

Además de la detección y prevención de intrusiones en la red, existen varios tipos adicionales de tecnología IDPS.

Inalámbrico

Los sistemas IDP inalámbricos están diseñados para analizar redes inalámbricas y protocolos de red. Aunque tienen el mismo propósito principal que un IDPS basado en red, generalmente no analizan protocolos de red superiores. Esto se debe a que, a diferencia de un NIDPS, un WIDPS no ve todo el tráfico de una red, sino que funciona mediante el muestreo continuo del tráfico de red.

Basado en host

Un IDPS basado en host se despliega como un agente en un único dispositivo, host o endpoint, normalmente crítico para el negocio o altamente sensible. Las características supervisadas por este tipo de solución incluyen los registros del sistema, los procesos en ejecución, el tráfico de red, la actividad de acceso y modificación de archivos y los cambios de configuración.

Análisis del comportamiento de la red

Mientras que un IDPS basado en la red inspecciona específicamente el tráfico en los puntos de acceso a la red, un sistema de análisis del comportamiento de la red examina la red, aprovechando la inteligencia artificial para identificar y marcar comportamientos anómalos.

Tipos de detección y prevención de intrusiones

Como su nombre indica, la funcionalidad de un IDP tiene dos vertientes: la detección y la prevención. O, dicho de otro modo, cómo el sistema identifica y remedia las amenazas. Según el Instituto Nacional de Estándares y Tecnología, hay tres clases principales de metodologías de detección.

1. La detección basada en firmas se basa en la comparación de patrones de actividad o comportamiento con amenazas conocidas. Esto podría incluir características conocidas de malware, configuraciones anormales del sistema o violaciones aparentes de la política de seguridad de una organización. El principal defecto de la detección basada en firmas es que no es capaz de comprender o evaluar comunicaciones complejas ni de reconocer una amenaza desconocida hasta el momento.

2. La detección basada en anomalías compara la actividad de la red con una línea de base establecida, señalando cualquier desviación como potencialmente maliciosa. El único inconveniente real de la detección basada en anomalías es que requiere tiempo para entrenar al sistema y establecer un perfil de comportamiento para cada entidad de una red. Un usuario inexperto también podría incluir inadvertidamente actividad maliciosa como parte de un perfil.

3. El análisis de protocolos con seguimiento de estado es similar a la detección basada en anomalías, con la salvedad de que aprovecha los perfiles de comportamiento desarrollados por los proveedores, que pueden aplicarse universalmente. Aunque pueden consumir muchos recursos, a menudo identifican ataques que otros métodos pasan por alto. Dicho esto, es posible engañar a un sistema de análisis de protocolos con seguimiento de estado enmascarando la actividad maliciosa con un comportamiento de protocolo aceptable.

Las capacidades de prevención pueden ser pasivas o activas e incluyen:

  • Finalizar una sesión TPC
  • Activar un cortafuegos en línea
  • Limitación del uso del ancho de banda
  • Alteración o eliminación de contenidos maliciosos
  • Reconfiguración de los dispositivos de seguridad de la red
  • Activación de un script o programa de terceros

Sistema de detección de intrusiones frente a sistema de prevención de intrusiones

Un IDS es principalmente pasivo. Escanea el tráfico de la red y avisa al administrador de posibles amenazas, pero no puede actuar. Un IPS representa una evolución de la detección de intrusos en el sentido de que es capaz de responder y remediar automáticamente.

CylanceGATEWAY™ es Zero Trust Network Access (ZTNA) potenciado por IA. Permite a su personal remoto establecer una conectividad de red segura desde cualquier dispositivo (gestionado o no) a cualquier aplicación en la nube o en las instalaciones, a través de cualquier red. Esta solución ZTNA nativa de la nube proporciona acceso escalable solo saliente a cualquier aplicación, al tiempo que oculta los activos críticos de usuarios no autorizados, lo que minimiza las áreas de superficie de ataque.

La arquitectura multiinquilino de CylanceGATEWAY está diseñada para la transformación digital y el trabajo distribuido. Su potente IA y aprendizaje automático mejoran su postura de seguridad y simplifican la configuración y gestión de políticas de seguridad y controles de acceso granulares y dinámicos.