Secciones

¿Qué son los sistemas de detección y prevención de intrusos (IDPS)?

Actualizado 27 de septiembre de 2023
Copiar URL

Resumen

Los sistemas de detección y prevención de intrusos (IDPS) son soluciones que supervisan las redes en busca de posibles amenazas y, una vez que las detectan, toman las medidas necesarias para detenerlas.

Están estrechamente relacionados con los sistemas de detección de intrusos (IDS). Si bien ambos sistemas detectan amenazas y envían alertas al respecto, los IDPS, además, intentan abordarlas.

En ocasiones, se los denomina sistemas de prevención de intrusos (IPS). Los términos IDPS e IPS suelen emplearse como sinónimos, pero cuando se habla de IPS, se suele hacer referencia a sus funciones de detección y abordaje de las amenazas.

Conozca la manera en que la automatización simplifica las operaciones de seguridad

Funcionamiento de los IDPS

Los IDPS funcionan de distintas maneras según el proveedor, el método de implementación elegido y las necesidades de la empresa que los utiliza.

Tipos de IDPS

IDPS basado en la red

Los IDPS basados en la red (NIPS) se instalan en determinados puntos de una red para supervisar todo el tráfico y buscar posibles amenazas. Por lo general, analizan la actividad y la comparan con una base de datos de ataques conocidos que un especialista en seguridad configura de forma manual. Si la actividad coincide con una amenaza conocida y registrada en la base de datos, se impide que circule por la red. Los NIPS suelen implementarse en los límites de las redes, como los enrutadores o los módems, detrás de los firewalls y en los puntos de acceso remoto a la red.

Hay dos subcategorías de NIPS:

  • Los sistemas inalámbricos de prevención de intrusos (WIPS) supervisan las redes inalámbricas para detectar la presencia de puntos de acceso no autorizados y dispositivos no reconocidos. Para ello, analizan las radiofrecuencias de la red. Los WIPS se implementan en las redes inalámbricas y los sitios expuestos a accesos inalámbricos no autorizados.
  • Los sistemas de análisis del comportamiento de la red (NBA) controlan el tráfico de la red en busca de patrones inusuales de actividad. Por ejemplo, en los ataques distribuidos de denegación de servicio (DDOS), se envían miles de solicitudes a la red con la finalidad de colapsarla. Aunque cada una de ellas pueda parecer válida por sí sola, juntas ponen de manifiesto un problema. En las redes internas de una empresa, los sistemas de NBA suelen utilizarse para reforzar un NIPS estándar.

IDPS basado en hosts

El IDPS basado en hosts (HIPS) se implementa en un único host, que suele ser un servidor clave con datos esenciales, o en servidores públicos que son puertas de enlace a la red interna de una empresa. Supervisan específicamente el flujo de tráfico en su sistema host, y suelen configurarse para detectar la actividad del sistema operativo del host y la actividad del conjunto de protocolos de Internet (TCP/IP).

Métodos de detección

Una vez instalados, los IDPS emplean diversas técnicas, las cuales se dividen en tres categorías, para identificar las amenazas:

  • La detección de amenazas basada en firmas compara la actividad supervisada con una base de datos repleta de firmas (es decir, un patrón o identificador único) de amenazas ya identificadas. Si bien este método es ideal para detectar amenazas conocidas, las nuevas pasarán desapercibidas.
  • La detección de amenazas basada en anomalías compara una selección aleatoria de la actividad de la red con un estándar de referencia de dicha actividad. Si la selección aleatoria difiere lo suficiente del patrón de referencia, se desencadena una acción. Aunque este método permite identificar amenazas nuevas, también genera una mayor cantidad de falsos positivos en comparación con la detección basada en firmas. Dentro de los IDPS, este método es el que más resulta beneficiado gracias a los avances de la inteligencia artificial y los algoritmos de aprendizaje automático.
  • La detección de amenazas basada en protocolos (o en políticas) es similar a la de firmas, pero se sirve de una base de datos de protocolos específicos definidos por la empresa y bloquea toda actividad que los infrinja. Se necesita que un especialista en seguridad configure los protocolos de forma manual.

Acciones preventivas

Una vez que el IDPS detecta una amenaza, puede tomar varias medidas que dependerán de su configuración y del tipo de amenaza detectada. Estas son las acciones preventivas más comunes contra los ataques:

  • Alertar a los administradores. Es el tipo de respuesta básica. El IDPS alerta a los administradores de seguridad, al igual que lo haría un sistema de detección de intrusos. Estas alertas se crean cuando una acción automática podría no ser adecuada, o cuando el sistema no tiene la seguridad de que se trata de un falso positivo.
  • Aplicar la vigilancia de bloqueo. Cuando el IDPS lleva a cabo esta acción, detiene los incidentes antes de que puedan producirse, ya que bloquea el tráfico o los usuarios señalados provenientes de una dirección IP que represente una amenaza. Un ejemplo común es el bloqueo de una dirección IP que tenga demasiados intentos fallidos de verificación de contraseña.
  • Cambiar el entorno de seguridad. Al igual que la vigilancia de bloqueo, esta técnica hace que el IDPS cambie la configuración de seguridad de la red para evitar una amenaza. Un ejemplo de esta respuesta sería la modificación de la configuración de un firewall.
  • Modificar el contenido del ataque. Esta técnica consiste en alterar el contenido del ataque de forma automática. Por ejemplo, si un correo electrónico se marca como sospechoso, el IDPS elimina todos aquellos aspectos que puedan incluir contenido malicioso para la red, como los archivos adjuntos.

Ventajas de los IDPS

Los IDPS pueden ser herramientas eficaces para los equipos de seguridad y para la empresa en general. Con ellos podrá:

  • Analizar la actividad y responder a las amenazas sin intervención humana. Aunque para responder a las amenazas complejas a menudo se necesita de la intervención humana, los IDPS pueden abordar las más sencillas de forma metódica y rápida, y señalar con mayor celeridad las más complejas para que intervengan los especialistas encargados de esta tarea. De este modo, los equipos de seguridad pueden no solo responder a las amenazas antes de que provoquen algún daño, sino también abordar una cantidad cada vez mayor.
  • Detectar amenazas que podrían pasar desapercibidas. Los IDPS, en especial los que utilizan la detección basada en anomalías, pueden detectar amenazas que los especialistas en seguridad podrían pasar por alto.
  • Aplicar constantemente las políticas sobre la seguridad y los usuarios. Dado que el IDPS se basa en reglas, la detección de amenazas se aplica de manera uniforme.
  • Cumplir los requisitos normativos. Al utilizar un IDPS, disminuye la cantidad de personas que interactúan con los datos privados, lo que constituye un requisito normativo en varios sectores.

Red Hat le ofrece una solución

Red Hat® Ansible® Automation Platform utiliza playbooks, servicios de directorio locales, registros consolidados y aplicaciones externas para automatizar las soluciones de defensa y permitir que los equipos de seguridad de la TI respondan a las amenazas de manera coordinada y unificada.

Los equipos de seguridad pueden utilizar Ansible Automation Platform para coordinar varias soluciones de seguridad empresarial diferentes, como los firewalls empresariales, los sistemas de gestión de la información y los eventos de seguridad (SIEM), los IDPS y las soluciones de gestión de acceso privilegiado (PAM), y conectarlas en un sistema de seguridad unificado.

Motivos para utilizar Ansible Automation Platform con un IDS o IDPS

Ansible Automation Platform ayuda a las empresas a automatizar sus soluciones de seguridad, ya que actúa como eje central para la integración de diversas tecnologías relacionadas con la seguridad. Mediante los playbooks de Ansible, la plataforma permite que una herramienta de seguridad lea automáticamente los resultados de otra. La interacción entre varias herramientas de seguridad es un elemento esencial de la detección de amenazas y, por lo tanto, una función central de los IDPS. Gracias a Ansible Automation Platform, las empresas pueden:

  • Implementar las nuevas reglas del IDPS de manera dinámica y flexible, y automatizar su configuración con su SIEM correspondiente.
  • Facilitar la gestión de las firmas, lo cual permite la integración de las actualizaciones automáticas con un IDPS mediante el uso de firmas obtenidas de boletines de seguridad.
  • Establecer una relación entre las búsquedas y la automatización de los eventos dentro de los sistemas SIEM. De este modo, los analistas pueden generar nuevas alertas en función de las acciones o los cambios realizados en otros dispositivos de seguridad.

Ansible Automation Platform puede conectar las soluciones de seguridad con el resto de la infraestructura y la red de su empresa. Esto implica que las distintas soluciones pueden automatizarse e integrarse para responder a las amenazas en toda la empresa de forma coordinada y unificada, mediante un conjunto seleccionado de módulos, funciones y playbooks.

Los equipos de su empresa también pueden aprovechar los conjuntos de contenido de confianza, que cuentan con la certificación de Red Hat y de nuestros partners. Gracias a que Ansible Automation Platform tiene acceso a cientos de módulos que permiten que los usuarios automaticen todos los aspectos de los procesos de gestión y los entornos de TI, los equipos de seguridad pueden trabajar juntos para proteger mejor los perímetros complejos de seguridad.

Conozca los casos prácticos de automatización de la seguridad

Artículos relacionados

ARTÍCULO

¿Qué es DevSecOps?

Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI debe desempeñar un papel principal en todo el ciclo de vida de sus aplicaciones.

ARTÍCULO

¿En qué se distingue la seguridad de la nube?

Los problemas de seguridad de alto nivel afectan a los sistemas de TI tradicionales y de nube por igual. Descubra en qué se diferencian.

ARTÍCULO

¿Qué es SOAR?

SOAR hace referencia a tres funciones clave del software que utilizan los equipos de seguridad: la gestión de casos y flujos de trabajo, la automatización de tareas y un medio centralizado para acceder a la información sobre las amenazas, realizar consultas y compartir dicha información.

Más información sobre la seguridad

Productos

Red Hat Certificate System

Marco de seguridad que gestiona las identidades de los usuarios y permite mantener la privacidad de las comunicaciones.

Red Hat Advanced Cluster Security Kubernetes

Solución empresarial de seguridad de los contenedores de Kubernetes que permite diseñar, implementar y ejecutar aplicaciones en la nube con mayor seguridad.

Red Hat Insights

Servicio de análisis predictivo que permite identificar y corregir amenazas a la seguridad, el rendimiento y la disponibilidad de su infraestructura de Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Consola con políticas de seguridad integradas para controlar las aplicaciones y los clústeres de Kubernetes.

Artículos relacionados

Contenido adicional

Ebook

Simplifique su centro de operaciones de seguridad

Ebook

Aumente la seguridad de la nube híbrida

Artículos relacionados

WHITEPAPER

Enfoque en capas para la seguridad de los contenedores y Kubernetes

EBOOK

2022 Global Tech Outlook: un informe de Red Hat

DATASHEET

Red Hat Insights ofrece el análisis predictivo de riesgos de TI

EBOOK

Mejore la seguridad y el cumplimiento

INFORME DE ANALISTAS

Amplíe sus posibilidades con Red Hat

LISTA DE VERIFICACION

Seis formas de fortalecer su base de TI