Secciones
- ¿Qué es un IDS y para qué sirve?
- ¿Qué es una intrusión en ciberseguridad?
- ¿Cómo funciona un IDS? Métodos de detección y respuesta posterior a la alerta
- IDS vs IPS: ¿En qué se diferencian?
- Las mejores soluciones IDS Open Source y comerciales
- La implementación de un IDS en una estrategia de seguridad
- Ventajas e inconvenientes de un IDS en ciberseguridad
Dado el panorama en ciberseguridad, un sistema de detección de intrusiones es imprescindible para cualquier organización. Por eso, explicaremos qué es un IDS, cómo funciona, alternativas existentes y cómo hacer realidad el verdadero sueño de todo administrador IT: convertirse en un tirano descubrir instantáneamente cualquier actividad sospechosa en su reino tecnológico.
¿Qué es un IDS y para qué sirve?
Un IDS es una tecnología de monitorización que permite detectar cualquier acción sospechosa y no autorizada en nuestra red o host, alertando al SOC o SIEM para que actúe.
Podemos decir que el IDS es el sistema de vigilancia constante, el observador incansable tras cada esquina, nuestra propia KGB, quien enciende las almenaras de Gondor porque alguien intenta romper sus murallas.
Su utilidad es clara, detectar intentos de brecha antes de que tengan éxito, alertando.
Aunque su principal función es la de sistema de vigilancia y notificación de cualquier sospecha, no es la única, ya que también sirve para cumplir normativas de ciberseguridad que nos atañen.
Tanto la NIS2 europea como la NIST, la ISO 27001 y otros marcos de regulación y buenas prácticas exigen monitorización continua de redes (con protocolos como SNMP) y de sistemas contra accesos no autorizados y actividades maliciosas. El IDS es la pieza que nos ayuda a cumplir y ahorrar multas.
Es importante aclarar que el IDS realiza una vigilancia constante y pasiva, pero solo notifica, no toma decisiones ni inicia acciones. El IDS es espía, pero no ejecutor.
La respuesta a las alertas del IDS dependerá de la estructura de seguridad en la organización, que puede tener conectado un SIEM que inicie acciones automatizadas, que el propio IDS tenga funciones añadidas de respuesta o bien, que sea el SOC quien actúe.
¿Qué es una intrusión en ciberseguridad?
Toda actividad no autorizada que busca comprometer la confidencialidad, integridad o disponibilidad de un sistema.
Esto puede tomar la forma de acceso no autorizado a datos sensibles, ejecutar malware (voluntariamente por despecho o sin querer, porque creías que ese enlace con faltas de ortografía te regalaría un iPhone), movimientos laterales tras un perímetro comprometido, etc.
Los métodos más comunes de intrusión
A veces pienso que la verdadera fuente de energía ilimitada es el ingenio hacker para penetrar defensas. He visto cosas increíbles, pero muchos intentos de intrusión comienzan con:
- Phishing. El clásico intemporal de mensajes maliciosos que intentan que hagas clic en un enlace (o ni eso, gracias a ataques zero-click), de modo que ejecutes un malware.
- Spoofing. O ponerse una de esas narices con gafas y bigote para hacernos pasar por una IP, dirección MAC o similar legítimos, para que el IDS no sospeche cuando intentamos entrar al club con DNI falso.
- Inyección de código. Normalmente, SQL o XSS, aprovechando una vulnerabilidad no parcheada para ejecutar comandos maliciosos.
- Stuffing de credenciales. Manera elegante de definir el uso de credenciales robadas.
- Ingeniería social, shoulder surfing (espiar estirando el cuello por encima del hombro para ver contraseñas tecleadas, pero que queda mejor denominar así) o cualquier otro método.
El IDS tiene la función de detectar todo eso y notificar, pero claro, eso lo saben también los malvados. Por eso, tratan de evitar a nuestro sistema de espionaje con maniobras de evasión como:
- Ofuscar patrones. Modificando el código de ataque, cifrando strings o con codificación para evitar IDS basado en firmas (veremos qué es).
- Ataques coordinados que no parecen ataques. Como despertar a una botnet de dispositivos zombi comprometidos, pero todavía no usados. Estos no saben que están infectados activándose, por ejemplo, para un DDoS desde IPs aparentemente legítimas, que no estaban en ninguna base de datos de direcciones maliciosas, esquivando IDS basados en reputación.
- Fragmentación de paquetes. Dividiendo el payload malicioso en pedazos pequeños para eludir firmas conocidas por el IDS. Si has visto las películas en que el malvado escamotea un arma introduciendo sus diferentes partes en el edificio para luego montarla una vez dentro, estás viendo este ataque. En realidad estás viendo una película, pero ya me entiendes.
- IDS basados en Host (Host-Based IDS). Monitorizan eventos en dispositivos individuales, como un servidor. El IDS vigila logs, cambios en archivos críticos (/etc/passwd, por ejemplo, si la máquina es Linux), procesos, permisos…
- IDS basados en red (Network-based IDS). Supervisan el tráfico de red y sus paquetes, buscando amenazas y patrones maliciosos, como escaneos de puertos o ataques SQLi.
- IDS basados en firmas (Signature-Based IDS). Es decir, detección por patrones conocidos de malware, intrusión o problemas, como que en un tráfico http detectemos la cadena /etc/passwd. Esa string es mala señal, pero ¿qué hacemos si no estamos ante un script-kiddie que copia y pega lo que ve por ahí porque se aburre? Entonces pasamos a…
- IDS basados en anomalías (Anomaly-Based IDS). Con el advenimiento de la IA y la inminente creación de Skynet, el uso de Machine Learning para detectar comportamientos anómalos es nuestro aliado. Es el intento de contrarrestar ese ingenio hacker infinito, porque actores maliciosos sofisticados no usarán trucos de siempre (en realidad, seguramente sigan teniendo éxito con esa contraseña 12345 que alguien no cambió nunca, pero bueno). Con estos IDS, cualquier anomalía detectada es notificada.
- IDS basados en políticas (Policy-Based IDS). Aunque esta tipología no es estándar, la organización puede determinar que ciertas acciones, aunque no sean intrusión o brecha en sí, serán notificadas por el IDS. Por ejemplo, todos sabemos que los torrents solo los utilizamos los geeks para compartir distros de Linux (ejem), pero una organización puede decidir que no se permita tráfico p2p. Aunque no sea una brecha, el IDS nos delata cuando bajamos «La séptima temporada de Debian» desde el portátil corporativo.
- Detección basada en reputación (Reputation-Based IDS). Bloquea tráfico que venga de IPs o dominios en listas negras que sean fuente de acciones maliciosas.
- Analizar necesidades.
- Seleccionar el IDS adecuado según estas.
- Decidir la ubicación del IDS (normalmente, en el perímetro exterior, puntos críticos del interior de red y HIDS en máquinas críticas).
- Integrarlo con el resto de infraestructura, como un SIEM, que pueda realizar acciones, correlar y unificar todo.
- Configurar el IDS.
- Probar y ajustar, básicamente para que no se nos pase nada y tampoco nos inunden falsos positivos.
- Con TAP (Network TAP), capturamos todo el tráfico y es ideal para redes críticas, pero el coste es alto, al usar hardware dedicado que copia dicho tráfico para monitorizar sin perder rendimiento de red.
- Con Port Mirror reducimos ese coste y facilitamos la implementación, pues muchos swiches permiten esto, pero podemos perder paquetes con mucho tráfico e introducir latencia.
- Revisar bien las reglas y umbrales de alerta, porque lo que es normal para unos resulta signo de amenaza para otros.
- Monitorizar y revisar, especialmente al principio, para ver si esas reglas se adaptan.
- Capacitar al personal, para interpretar esas reglas y decidir actuaciones.
- Actualizar regularmente. Con las últimas firmas y reglas del IDS elegido.
- Nos concede esa visión total de Odín sobre lo que ocurre.
- Cumplimos normativas de seguridad.
- Reducimos tiempo de respuesta ante incidentes.
- Es complejo de integrar con el resto de sistemas de seguridad.
- Son tan buenos como sus archivos de firmas, reglas y el Machine Learning que apliquen.
Tipos de IDS: Host-Based (HIDS), Network-Based (NIDS) y otras variantes
Los IDS se pueden clasificar de muchas maneras, incluida su naturaleza más básica, como hardware y software. Cisco, por ejemplo, ofrece sus Firepower (firewalls de hardware con prestaciones IDS) a corporaciones, igual que implementaban sus antiguos K9 en instalaciones industriales.
Pero con el avance de la virtualización y que muchas empresas vuelan ya montadas en la nube como Goku, muchas opciones estarán basadas en software.
Así, clasificados por su modo de operación, tendríamos:
Las clasificaciones pueden ser infinitas, como diferenciar entre Protocol-Based IDS o incluso Application Protocol-Based IDS, que monitorizan protocolos de red o de capa de aplicación (HTTP, DNS…). Sin embargo, estas tipologías, por ejemplo, se consideran dentro de IDS basados en red y detección mediante anomalías.
Como muchos habrán adivinado, algunos de los mejores IDS funcionan de forma híbrida. Es decir, adoptando la filosofía Borg y asimilando lo mejor de cada mundo, al utilizar varios de los métodos anteriores para una protección integral.
Sí, voy a llenar todo de referencias a Star Trek hasta que me echen, pero continuemos profundizando.
¿Cómo funciona un IDS? Métodos de detección y respuesta posterior a la alerta
Imaginemos un administrador IT que tiene autoridad sobre los sistemas de la organización, de modo que hace lo que siempre quiso, ejercerla con puño de hierro para compensar sus carencias en el resto de aspectos de la vida. Así que crea su «red de espionaje».
En lugar de desplegar furgonetas de pizza con parabólicas en el techo, o tipos con gabardina leyendo un periódico con agujeros a la altura de los ojos, implementa una solución IDS que delate todo lo que no le parece adecuado.
Dependiendo de la organización, seguramente optará por un IDS basado en red que abra cada paquete para ver si tiene regalo dentro y, en activos sensibles, desplegará IDS basados en Host. Muchos cargan archivos de reglas (que se van actualizando) con patrones de actuación, IPs sospechosas, etc, de modo que mucho peso del trabajo lo levanta el IDS.
Pero no le basta. Se le ha subido el poder a la cabeza y también decide establecer políticas adicionales, como notificar IPs de VPNs conocidas como Riseup o tráfico de torrents excepto para una máquina (la suya).
Con eso, el administrador se siente Odín y sus cuervos Hugin y Munin (su IDS en realidad, pero dejémosle soñar) le traen todas las noticias del mundo, como al padre de Thor.
Así, hay una alerta del IDS porque el becario ha tratado de conducir tráfico por puertos p2p, mientras llega otra de paquetes extraños que parecen un escaneo de puertos. Poco después, alguien visita nuestra web desde una VPN y, por supuesto, hay un suministro inagotable de humanos haciendo clic donde no deben como si acabara el mundo.
Estos serían patrones comunes detectados por IDS basados en firmas. Pero nuestro administrador quiere conservar su empleo, porque es su única oportunidad de sentirse alguien cada mañana, de modo que despliega una solución híbrida, con detección adicional basada en anomalías y Machine Learning.
Entonces, ocurren varias cosas que, por sí mismas, no parecen mucho.
En un equipo Windows alguien ha ejecutado Powershell. No es malware, así que un IDS basado en firmas permanecería callado. Pero desde ahí se intenta acceder a un servidor de backups. De nuevo, podría no ser una brecha, pero las piezas comienzan a tener forma rara. Poco después, hay tráfico hacia un dominio benigno, como Google Drive.
El IDS basado en anomalías comprendería que esto no es habitual. El contable medio no sabe qué es Powershell y grita aterrorizado cuando aparece una terminal, o el tráfico hacia Google Drive es habitual, pero estas tres cosas huelen a exfiltración, así que suena la alarma.
Los cuervos de Odín (mucho mejor nombre que IDS) han hecho su función, pero queda la respuesta.
Si el IDS está conectado a un SIEM (Security Information and Event Management) como Pandora, por ejemplo, este responderá con posibles medidas automáticas y aviso al SOC para atajar el incidente.
Se puede bloquear el tráfico saliente del servidor de copias como medida preventiva, por ejemplo. O trazar quién está realizando esas cosas y explicarle que una infraestructura tecnológica bien protegida funciona como un estado policial… Y siempre te están mirando.
IDS vs IPS: ¿En qué se diferencian?
Un IPS (Intrusion Prevention System) va más allá de un sistema de detección. Mientras que los IDS son espías que observan e informan, el IPS tiene «licencia para actuar». Algunos los consideran la siguiente evolución, ya que funcionan de la misma manera (por firmas, anomalías, etc), pero el IPS añade capacidad de acción.
Por ejemplo, un administrador instala un IPS como Fortigate, el cual, de manera similar al IDS, detecta algo sospechoso, imaginemos un ataque día cero que obviamente no está en firmas, pero ha detectado como anomalía.
En lugar de informar solamente, también actúa, aplicando un «parche virtual» que, de momento, limite el daño, como cortar el tráfico.
¿Y por qué no usamos simplemente IPS en lugar de IDS? De hecho, muchos IDS implementan capacidades de respuesta en mayor o menor medida, de modo que la frontera entre IDS e IPS es cada vez más borrosa. Sin embargo, no siempre es «mejor» un IPS o activar capacidades de respuesta, especialmente, automatizadas.
Por ejemplo, en ciertas situaciones, actuaciones del IPS ante falsos positivos pueden cortar servicios que, en entornos críticos (imagina un hospital) suponen un desastre, por poco downtime que impliquen. Por eso, siempre querremos prestaciones IDS en nuestra estrategia de seguridad, pero planificando bien las formas de responder.
Así pues, todo depende. Un IPS puede ser ideal para una máquina con tolerancia cero a intrusiones y donde un posible downtime no ponga en peligro vidas, como un servidor redundante de backups de datos personales.
Obviamente, una combinación de IPS e IDS puede ser ideal, por ejemplo, instalando el IPS en el perímetro exterior para bloquear amenazas conocidas y posibles días cero, mientras que en red interna usamos un IDS.
Las mejores soluciones IDS Open Source y comerciales
Si nos hemos convencido de la necesidad de un IDS, tenemos bastantes opciones, tanto de código abierto como comerciales. He aquí una pequeña comparativa, para comenzar a explorar cuál se adapta mejor a nuestra situación.
Herramienta |
Tipo |
Características Clave |
Casos de Uso |
Licencia |
NIDS/IPS |
– Basado en firmas con capacidad IPS. |
Pymes, redes con tráfico moderado. |
Open Source (GPLv2) |
|
NIDS/IPS |
– Multi-threading (alto rendimiento). |
Redes empresariales de alto throughput (>10 Gbps). Suricata es muy bueno, pero lastrará infraestructuras modestas. |
Open Source (GPLv2) |
|
Zeek NSM |
NIDS |
– Enfoque forense (logs detallados). |
Análisis forense post-incidente, grandes empresas, universidades, organizaciones dedicadas a la investigación o que precisen un análisis exhaustivo de la red. |
Open Source (BSD). |
OSSEC |
HIDS/IPS |
– Monitorización de logs y integridad de archivos. |
Al ser host-based es ideal para monitorizar endpoints críticos (servidores, equipos de red…). |
Open Source (GPLv2) |
NIDS/IPS |
– Firewall físicos. |
Normalmente, usados por grandes corporaciones (aunque ciertos modelos como la serie 1000 están pensados para pymes) y entornos multicloud. |
Comercial |
|
Trellix IPS |
NIDS/IPS |
– Capacidades más allá de análisis por firmas. |
Se posiciona como una solución completa, no solo IDS, comparable a Crowstrike o Sentinel One. |
Comercial |
La implementación de un IDS en una estrategia de seguridad
Integrar un IDS en nuestra estrategia de seguridad no es un proyecto plug-and-play, de modo que requiere:
La topología de la red determinará dónde es mejor colocar el IDS y cómo monitorizaremos:
A fin de reducir falsos positivos, deberemos:
Ventajas e inconvenientes de un IDS en ciberseguridad
La gran ventaja de un IDS es que nos proporciona una enorme cantidad de información, mientras que su gran inconvenientes es que, si no la gestionamos bien, nos puede sobrepasar con ruido, afectando al funcionamiento de la infraestructura IT con falsos positivos y despliegue de medidas innecesarias que causen interrupciones.
No obstante, los beneficios de un IDS son claros:
Mientras, sus principales retos y limitaciones, además de los falsos positivos, son:
Al final, convertir nuestra infraestructura IT en un estado policial no es sencillo, pero hoy día no hay alternativa y, con todo esto, George Orwell nos mirará mal, porque él escribió una advertencia y no un manual de instrucciones… Excepto cuando se trata de ciberseguridad. Entonces, mejor que imitemos al Gran Hermano con un IDS.
Más allá de los límites,
más allá de las expectativas