Cada ciberataque plantea retos únicos: las soluciones de seguridad de talla única rara vez son eficaces. A veces se comparan dos métodos concretos como soluciones alternativas para luchar contra las amenazas: Los sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusos (IPS).
Los dos sistemas comparten muchas similitudes y pueden ser igualmente útiles, dependiendo de las capacidades y necesidades específicas de la empresa o de los administradores del sitio web. Entonces, ¿qué son los IDS y los IPS, y es uno mejor que el otro?
IDS vs IPS
- Sistema de detección de intrusos (IDS)
Los IDS escanean el tráfico entrante en busca de posibles amenazas y ciberataques. Utilizando varios métodos de detección (más adelante se habla de ellos), comprueban cualquier actividad sospechosa que pueda amenazar las redes o los dispositivos que cubren. Una vez detectada una acción sospechosa o prohibida, el sistema enviará un informe a un sitio web o a un administrador de la red.
- Los sistemas de prevención de intrusiones (IPS)
Los IPS adoptan un enfoque más proactivo e intentan bloquear el tráfico entrante si detectan una amenaza. Este proceso se basa en los mismos mecanismos de detección que los IDS, pero los respalda con medidas de prevención proactivas.
¿Cómo funcionan los sistemas de detección de intrusiones?
Un IDS es esencialmente un vigía que detecta al enemigo entrante y alerta a sus superiores. El vigía en sí mismo sólo está ahí para buscar amenazas, no para neutralizarlas. Es un sistema diseñado para trabajar en conjunto con los administradores humanos, quienes pueden responder efectivamente a cada amenaza única. La mayoría de los IDS se clasifican en estas dos categorías:
- Sistema de Detección de Intrusiones en Red (NIDS): Un NIDS supervisa el tráfico de la red en busca de cualquier amenaza potencial, sin centrarse en un dispositivo. Este es el sistema preferido por los administradores que manejan un gran ecosistema de hardware o aplicaciones conectadas; con un NIDS, pueden lanzar una red más amplia.
- Sistema de detección de intrusiones en el host (HIDS): Este enfoque es mucho más específico que el NIDS. A diferencia de su homólogo, un HIDS se centra sólo en un único «host», un dispositivo como un ordenador o un servidor. Además de supervisar el tráfico entrante que recibe el hardware, también analiza el software de ese dispositivo en busca de cualquier actividad inusual.
Es importante entender que estos sistemas no son mutuamente excluyentes. Mientras que el NIDS puede ofrecer grandes mejoras de seguridad en toda la red, el HIDS proporciona protección específica para cada dispositivo. Juntos, estos dos enfoques pueden ofrecer excelentes herramientas para mejorar la seguridad a todos los niveles.
Métodos de detección
Hay dos estrategias de detección que son utilizadas principalmente por los IDS. Ambas tienen sus propias ventajas e inconvenientes, y su utilidad dependerá en gran medida del contexto.
- Los sistemas basados en anomalías operan sobre una comprensión predeterminada de la actividad de red «no sospechosa». Esto significa que durante la instalación del software, los administradores definen las reglas para la actividad «normal», permitiendo así que el sistema «aprenda» lo que es normal. Una vez que un sistema basado en anomalías ha definido lo que se considera tráfico de usuario «normal», puede comparar comportamientos y detectar cuando se convierten en anómalos.
- Los sistemas basados en firmas se basan en una base de datos preestablecida de amenazas conocidas y los comportamientos asociados a ellas. Un IDS basado en firmas analizará cada pieza de tráfico entrante y la comparará con su «lista negra». Esa lista puede contener cualquier cosa, desde paquetes de datos sospechosos asociados a un ataque DDOS hasta líneas de asunto de correo electrónico previamente vinculadas a malware.
Ambos sistemas tienen sus pros y sus contras. La detección basada en anomalías es mucho más probable que confunda un comportamiento no malicioso con una amenaza, ya que cualquier cosa que se desvíe de su comprensión de lo «normal» hará saltar la alarma. No es un problema tan grande si se utiliza un IDS, por supuesto, ya que simplemente notificaría a un ser humano en lugar de bloquear el tráfico por completo, como lo haría un IPS.
Los sistemas basados en firmas carecen de la fluidez y las capacidades de aprendizaje automático de las que se beneficia un IDS basado en anomalías. Cualquier base de datos de amenazas es finita, y continuamente surgen nuevos patrones de ataque. Si la lista no se actualiza, el sistema no será capaz de detectar la amenaza.
Así que, a la hora de elegir el mejor método de detección para su IDS, las empresas que tienen sitios web con mucho tráfico deberían inclinarse por la opción basada en anomalías.
¿Cómo funcionan los sistemas de prevención de intrusiones?
La forma más sencilla de entender un IPS es verlo como un IDS con una característica adicional (y potencialmente cambiante): la prevención activa.
Cuando se trata de similitudes, la mayoría de los IPS se pueden clasificar en la misma línea que los IDS, en los que abarcan toda la red y los específicos para el host. Además, un IPS detecta las amenazas de forma muy parecida a un IDS, utilizando una lista negra de firmas o un método basado en anomalías.
La principal distinción entre los dos sistemas queda clara una vez que un IPS ha detectado una amenaza potencial. En lugar de notificar a un administrador humano, lanza inmediatamente un proceso preventivo, bloqueando y restringiendo las acciones de quien envía el tráfico sospechoso.
Dependiendo del software, un IPS puede rechazar el paquete de datos sospechoso o activar el cortafuegos de la red. En casos drásticos, puede cortar la conexión por completo, haciendo que el sitio web o la aplicación sean inaccesibles para quien considera una amenaza.
Diferencias entre IDS e IPS
A primera vista, el IPS puede parecer mucho más eficaz que el IDS. ¿Por qué querría sólo detectar las ciberamenazas entrantes cuando podría prevenirlas automáticamente?
Un problema con los IPS es el de los falsos positivos. Esto no sucede a menudo, pero cuando lo hace el sistema no responderá con el mismo matiz que lo haría un administrador humano. Una vez detectada, la amenaza percibida será bloqueada inmediatamente, incluso si ha habido un error. Esto puede dar lugar a que se deshabiliten o eliminen las funciones del sitio web para los usuarios no maliciosos sin ninguna supervisión humana.
Un IDS no bloqueará un ataque o un paquete sospechoso, sino que lo reconocerá y alertará a los administradores del sitio web. Aunque este sistema puede no ser el más rápido, permite a los administradores humanos tomar la decisión final sobre cómo prevenir una amenaza. Esta podría ser una estrategia mejor que confiar en un sistema automatizado falible como único árbitro del tráfico del sitio web.
Para ser justos, el software IPS está mejorando y el número de falsos positivos está disminuyendo. Por lo tanto, el sistema podría ser una buena solución para los sitios web que dependen de un alto volumen de tráfico sin interrupciones.
El contexto lo es todo
Por muy tentador que sea sacar conclusiones absolutas, el contexto es el factor decisivo a la hora de elegir una solución sobre la otra.
Cada empresa y usuario tendrá sus propias necesidades de seguridad y se enfrentará a diferentes amenazas y retos. Un IPS puede ser adecuado para la red interna de una empresa, pero un sitio web de gran tamaño con múltiples servidores podría encontrar que un IDS es una mejor opción.
Sopese los méritos de cada sistema y vea cómo podrían desempeñar un papel en la satisfacción de sus propias necesidades de seguridad. Una solución a medida es siempre la más eficaz.
Para obtener más información sobre ciberseguridad, suscríbase a nuestro boletín mensual del blog.