IDS (Intrusion Detection System) o Sistema de Detección de Intrusos es un componente dentro del modelo de seguridad informática de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anomalías, desde el exterior o interior de un dispositivo o una infraestructura de red.
El IDS (Intrusion Detection System) se basa en la hipótesis de que el comportamiento de un intruso es diferente al de un usuario legítimo, lo que se emplea para su detección por análisis de estadísticas de uso basados en un patrón de uso habitual.
Un modelo IDS intenta crear patrones de comportamiento de usuarios respecto al uso de programas, archivos y dispositivos, tanto a corto como a mediano y largo plazo, para hacer la detección efectiva; además, utiliza un sistema de reglas predefinidas (“firmas o signaturas”) para la representación de violaciones conocidas.
FUNCIONALIDAD
La funcionalidad de un Sistema de Detección de Intrusos se basa en el análisis detallado del tráfico de red o el uso de los dispositivos. Para la evaluación se compara la situación con firmas de ataques conocidos, o comportamientos sospechosos.
La mayoría de los Sistemas de Detección de Intrusos(IDS) suelen disponer de una base de datos de “firmas” de ataques conocidos, que le permiten distinguir entre el uso normal de un dispositivo y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
En una red de comunicaciones, un Sistema de Detección de Intrusos (IDS) no solo analiza qué tipo de tráfico se emplea, sino también revisa el contenido y comportamiento; También, observa si ocurre un escaneo de puertos o la transmisión de paquetes de datos mal formados, entre otras cosas.
Normalmente un Sistema de Detección de Intrusos(IDS) es integrado con un firewall, de preferencia en un dispositivo que funcione como puerta de enlace de una red. Esta asociación es muy poderosa, ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, en el punto donde es inevitable que pasen los paquetes y pueden ser bloqueados antes de penetrar en la red.
DETECCIÓN DE ANOMALÍAS O ACTIVIDADES SOSPECHOSAS
La idea central del funcionamiento de un Sistema de Detección de Intrusos(IDS) se basa en el hecho de que la actividad intrusiva constituye un conjunto de anomalías (acciones extrañas o sospechosas). Si alguien consigue entrar sin autorización a un sistema, no se comportara como un usuario habitual, sino que su comportamiento se alejará del de un usuario normal.
De forma general, la mayoría de las actividades intrusivas resultan de la suma de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo; así las intrusiones pueden clasificarse en:
- Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema.
- No intrusivas pero anómalas: denominados Falsos Positivos (el sistema erróneamente indica la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el sistema «decide» que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso cuando sean acertados.
- No intrusiva ni anómala: son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal.
- Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada.
Los sensores de intrusiones anómalas requieren realizar muchas estimaciones de varias métricas estadísticas, para determinar cuánto se aleja el usuario de lo que se considera comportamiento normal o habitual.
CARACTERÍSTICAS
Todos los Sistemas de Detección de Intrusos (IDS), sea cual sea su tipo y base de funcionamiento, deben poseer las siguientes características:
- Debe funcionar continuamente sin la necesidad de interacción o supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en segundo plano como parte del dispositivo o la red que está siendo observada.
- Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir caída de sistema.
- Debe ser resistente a perturbaciones, en el sentido en que puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
- Debe utilizar pocos recursos del sistema. Un sistema que consume muchos recursos computacionales no debe ser utilizado.
- Debe observar desviaciones sobre el comportamiento habitual.
- Debe ser fácilmente adaptable al sistema operativo ya instalado, pues cada uno tiene un patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones.
- Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas aplicaciones al mismo.
- Debe ayudar a identificar de dónde provienen los ataques que se sufren, y recoger evidencias que pueden ser usadas para identificar intrusos.
- Deben ser “difíciles de vulnerar” y suministrar a los especialistas de seguridad “cierta tranquilidad”.
TIPOS DE IDS
Los sistemas de detección de intrusos pueden clasificarse dependiendo del tipo de evento que monitorean y cómo se implementan:
- IDS Basados en Red: El sistema de detección de intrusiones de red monitorea el tráfico de red en un segmento o dispositivo, y analiza la red y la actividad de los protocolos para identificar actividades sospechosas. Este sistema también es capaz de detectar innumerables tipos de eventos de interés, y por lo general se implementa en una topología de seguridad como frontera entre dos redes, por donde el tráfico es enfilado; en muchos casos, el propio IDS termina por integrarse directamente en el firewall.
- IDS Basados en Host o Abonado de la Red: El sistema de detección de intrusiones en el host se refiere a un equipo o activo propiamente dicho. En este caso, se considera un host, por ejemplo, al dispositivo personal de un usuario o a un servidor de aplicaciones. La detección de intrusión, en este formato, monitorea las características del dispositivo y los eventos que ocurren con él en busca de actividades sospechosas. Generalmente los IDS basados en host se pueden instalar de manera individual, tanto para equipos corporativos dentro de una red empresarial, como para terminales personales. Entre las principales características que los acompaña, se destaca el tráfico de la red para el dispositivo, los procesos en ejecución, los registros del sistema, así como el acceso y cambio en archivos y aplicaciones.
- IDS Basado en Conocimiento: Hace referencia a una base de datos de perfiles de vulnerabilidades de sistemas ya conocidos para identificar intentos de intrusión activos. En este caso, es de suma importancia que la estructura tenga una política de actualización continua de la base de datos (firmas) para garantizar la continuidad de la seguridad del ambiente, teniendo en cuenta que lo que no se conoce, literalmente, no será protegido.
- IDS Basado en Comportamiento: Analiza el comportamiento del tráfico siguiendo una línea de base o estándar de actividad normal del sistema, para identificar intentos de intrusión. En el caso de que haya desviaciones de este patrón o líneas de base, se pueden tomar algunas acciones, ya sea bloqueando ese tráfico temporalmente, o emitiendo alarmas de operación de red, que permitan que esa anormalidad pueda ser mejor investigada, liberada o permanentemente bloqueada.
- IDS Activo: Se define un IDS como activo, desde el momento en que se determina que bloqueará automáticamente ataques o actividades sospechosas que sean de su conocimiento, sin necesidad de intervención humana. Aunque potencialmente es un modelo extremadamente interesante, es importante un ajuste de parámetros adecuado a los ambientes protegidos, para minimizar falsos positivos, y que se bloqueen conexiones legítimas que causen trastornos para las organizaciones.
- IDS Pasivo: Monitorea el tráfico que pasa a través de él, identificando potenciales ataques o anormalidades y, con base en ello, genera alertas para administradores y equipos de seguridad; sin embargo, no interfiere en absolutamente nada en la comunicación. Aunque no actuar directamente en la prevención, sirve como un excelente termómetro de ataques e intentos de acceso no autorizados a la infraestructura de una empresa.
¿POR QUÉ SON IMPORTANTES LOS IDS?
Cada día se crean nuevas técnicas para exponer o vulnerar sistemas computacionales, y es un gran desafío para la seguridad de la información acompañar esta velocidad, e incluso estar al frente y no actuar de forma reactiva.
La implementación de una buena política de IDS es muy importante en una arquitectura de seguridad, ya que este recurso, si se actualiza constantemente, es capaz de mantener la infraestructura alejada de ataques oportunistas, ya sea desde una perspectiva de la red, o por la propia exposición de un dispositivo.
Para poner en funcionamiento, un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución de hardware, de software, o incluso una combinación de estos.
La posibilidad de introducir un elemento hardware es debido al alto procesamiento de información en redes con mucho tráfico; a su vez, los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de almacenamiento.
En la actualidad, además, el desarrollo de las estrategias de seguridades para los dispositivos y las redes de comunicación, ha influido en el surgimiento de un nuevo tipo de defensa a tomar en consideración: los IPS o Sistemas de Prevención de Intrusiones, que en buena medida pueden interpretarse como una evolución de los IDS tradicionales.
La compañía PROTELION ha desarrollado Sistemas para la Detección y Erradicación de Amenazas (Threat Detection and Response), que cuentan con todos los componentes para la detección y un módulo de toma de decisiones automáticas Threat Intelligence Analytic System -TIAS , que basado en firmas, aprendizaje por máquina e inteligencia artificial es capaz de detectar ataques del Día Cero.
Spanish 
English