Intrusion Prevention System
| ||||||||||
IPS(Intrusion Prevention System) Dispositivos dedicados a la prevención de intrusiones a partir de la identificación y bloqueo de patrones específicos de ataque en su transito por la red, aparatos para esta funcionalidad se denominan IPS (Intrusion Prevention System) y están específicamente diseñados para prestar de manera dedicada este tipo de funcionalidades, con un base amplia de firmas y algunas detecciones basadas en métodos relacionados con comportamiento. Esto ha sido por largo tiempo una funcionalidad requerida en múltiples entornos.
Sumario
Características Principales
Las principales funciones de los sistemas de prevención de intrusiones de identificar la actividad maliciosa, registro de información sobre dicha actividad, intento de bloquear / parar la actividad, y el informe de actividades.
Monitoreo de operación y soporte del dispositivo 5x8 o 7x24 según las necesidades del cliente. Adición, eliminación y ajuste de firmas 5x8 o 7x24 según las necesidades del cliente.
Actualización automática con verificación manual de las bases de firmas de las funcionalidades de IPS. Actualizaciones de software(firmware) de los dispositivos según los liberen los fabricantes y sean homologados por nuestra área de servicios. Análisis para la definición del grupo inicial de firmas de IPS.
El dispositivo para la prestación del servicio se incluye dentro de la tarifa mensual por el servicio. Los dispositivos administrados pueden estar ubicados en diferentes ubicaciones físicas y tipológicas. Comunicación segura desde y hacia el SOC (Security Operations Center) de 360 Security Group.
Soporte en sitio ante la imposibilidad del SOC para acceder remotamente al dispositivo. Plataforma de servicios unificada y especializada para la prestación de servicios administrados de seguridad. Diversas formas de comunicación con nuestro SOC: Portal Seguro de Servicio, PBX y Líneas Celulares de Servicio.
Análisis de logs del dispositivo y correlación con logs de otros dispositivos administrados que tenga contratados el cliente. Reportes de servicio con frecuencia mensual y ante la ocurrencia de incidentes y eventos especiales.
Clasificaciones
Los sistemas de prevención de intrusiones se puede clasificar en cuatro tipos diferentes:
- Basada en la red de prevención de intrusiones (PIN): los monitores de toda la red para el tráfico sospechoso mediante el análisis de la actividad de protocolo.
- Sistemas de prevención de intrusiones inalámbricas (WIPS): los monitores de una red inalámbrica para el tráfico sospechoso mediante el análisis de protocolos de redes inalámbricas.
- Análisis de comportamiento de la red (NBA): examina el tráfico de red para identificar las amenazas que generan flujos de tráfico inusuales, como la denegación de servicio distribuido (DDoS), ciertas formas de malware, y violaciónes de política.
- Basada en el host de prevención de intrusiones (HIPS): un paquete de software que controla un único host para detectar actividades sospechosas mediante el análisis de los acontecimientos que ocurren dentro de ese sistema.
Los métodos de detección
La mayoría de los sistemas de prevención de intrusos utilizar uno de los tres métodos de detección:. Basados en firmas, anomalías estadísticas basadas en el protocolo y el análisis de estado.
- Detección basada en firmas: Este método de detección utiliza firmas, que son los patrones de ataque que están preconfigurados y predeterminada. Un sistema de intrusiones basados en firmas de prevención controla el tráfico de la red para los partidos de las dos firmas. Una vez que un partido se encuentra el sistema de prevención de intrusiones toma la acción apropiada. Las firmas se pueden explotar o basado en la vulnerabilidad de base.. Explotación de firmas basadas en analizar los patrones que aparecen en las hazañas de ser protegidos contra, mientras que la vulnerabilidad basada en firmas de análisis de vulnerabilidades en un programa, su ejecución, y las condiciones necesarias para explotar la vulnerabilidad, dijo.
- Anomalía basado en estadísticas de detección: Este método de detección de líneas de base del rendimiento promedio de las condiciones de tráfico de la red. Después de una línea de base se ha creado, el sistema de forma intermitente el tráfico de red muestras, mediante un análisis estadístico para comparar la muestra con la línea base. Si la actividad fuera de los parámetros de referencia, el sistema de prevención de intrusiones toma la acción apropiada.
- De estado de detección de análisis de protocolo: Este método identifica las desviaciones del protocolo establece mediante la comparación de los fenómenos observados con "perfiles predeterminados de las definiciones generalmente aceptadas de la actividad benigna.
¿Qué es y qué hace un IPS?
Los IPS buscan anomalías (o comportamientos anómalos) a nivel del sistema operativo, comprueban los módulos cargados por el núcleo, monitorean la actividad del sistema de achivos, buscan RootKits en el sistema, etc.
Una intrusión exitosa suele ser acompañada por un conjunto de actividades que los IPS intentar descubrir. Normalmente los intrusos buscan adueñarse o utilizar para algún fin el sistema que atacaron, para esto suelen instalar software que les permita el futuro acceso, que borre sus huellas, keyloggers, software de spamming, virus de tipo botnet, spyware, etc.
En la actualidad los IPS incluyen funcionalidades como Firewall y Anti-maleware (anti-virus, anti-spyware, etc.).
Los IPS son implementados como agentes instalados directamente en el sistema que protegen. Estos monitorean de cerca al núcleo y los servicios, incluso interceptando llamadas al sistema o APIs.
Motivación
Si un ataque logra atravesar las defensas basadas en red (Firewalls, IPS, IDS, NAC, DDoS Defenses, etc.), el último campo de batalla es el propio sistema operativo de la PC o Servidor del objetivo del ataque, por tanto estos deben estar preparados. Otro elemento que hace importante los HIPS, es el hecho de que el tráfico cifrado no puede ser evaluado por las protecciones basadas en red. Las defensas basadas en Host más avanzadas son los "Host Intrusion Prevention System" y son la última barrera entre el atacante y su objetivo.
Consideraciones
No todos los IPS son iguales y debido a que trabajan a muy bajo nivel (interceptando llamadas al sistema y APIs) hay que tener ciertos recaudos a la ahora de elegir:
- Debe ser estable (confiable), sino las aplicaciones pueden no correr correctamente.
- No debe impactar negativamente en el rendimiento del sistema.
- No debe bloquear actividades o tráfico legítimo (sin "falsos positivos").
Si un IPS no cumple con estos requisitos es preferible no tenerlo. Al igual que con los NIPS o NIDS, es muy importante que tenga un buen motor de detección de anomalías. Si sólo se basa en firmas "signatures" nunca va a detectar "exploits zero-days" (exploits muy recientes para los cuales todavía el vendedor no ha producido parches y no se han hecho firmas que lo detecten).
Antes de hacer una implantación masiva es importante chequear que el producto elegido sea compatible con todas las aplicaciones que se utilizan en los sistemas que se instalen. Hay que tener especial atención en las aplicaciones hechas a medida o pedido (home-grow, custom, etc.).
Es importante que se puedan crear reglas propias y que éstas sean sencillas de construir. Esto es importante porque el vendedor crea las reglas de manera genérica y puede no tener en cuenta problemas de nuestro entorno.
Si en el ambiente hay muchos Host (Desktops o Servers) es importante que provea mecanismos de Administración centralizada así como de reporte. Algunos son administrables vía LDAP e incluso los hay integrables con sistemas de administración de seguridad. Es importante que se puedan instalar las reglas personalizadas en todos los sistemas desde un lugar centralizado, lo mismo es recomendable para la generación de reportes.
Si bien los HIPS son de las mejores herramientas de seguridad, no son infalibles, por lo tanto no reemplazan a los NIPS, Firewalls, VPNs, etc. Y sobre todo: tener HIPS instalados en los sistemas no significa que no siga siendo importante mantener actualizados los sistemas, aplicar todos los parches de seguridad y hacer periódicos análisis de vulnerabilidades. También 360 Security Group presta a través de su SOC (Security Operation Center) servicios de UTM Administrado los cuales se adaptan a diversas topologías de red, así como a las necesidades de seguridad y funcionalidad de organizaciones de distintos tipos, tamaños y sectores.
Véase también
- McAfee Host IPS
- Cisco Security Agent
- ISS - Proventia Desktop y Server
- Symantec Critical System Protection
