La Importancia de IPS en Nuestros Firewalls: Protegiendo el corazón de la Red.

2 meses ago socn2axians

Como una estrategia de seguridad ya afianzada actualmente en muchos entornos de red tenemos los sistemas de Prevención de Intrusiones (IPS). Estos sistemas representan una evolución significativa respecto a sus predecesores, los sistemas de Detección de Intrusiones (IDS). Un IPS, o Sistema de prevención de intrusiones, no solo detecta amenazas en la red, sino que va más allá al actuar proactivamente para evitar actividades maliciosas. En esta entrada, exploraremos el papel vital que desempeñan los IPS como guardianes virtuales de la seguridad de la red, trabajando en concierto con los sistemas de detección para fortalecer nuestras defensas cibernéticas.

IPS se ha convertido en una tecnología muy útil para los centros de operaciones de seguridad(SOC) ya que ayuda a cumplir las políticas de seguridad y bloquear directamente el tráfico malicioso, permitiendo al equipo humano centrarse en amenazas más complejas.

Métodos de detección de amenazas de un IPS:

Los IPS utilizan tres métodos principales de detección de amenazas, de forma exclusiva o en combinación, para analizar el tráfico:

Detección basada en firmas:

Con este método se analizan los paquetes de red en busca de firmas de ataque, es decir, características o comportamientos únicos asociados a una amenaza específica. Una secuencia de código que aparece en una variante de malware particular es un ejemplo de firma de ataque. Un IPS basado en firmas mantiene una base de datos de firmas de ataque con las que compara los paquetes de red. Si un paquete coincide con una de las firmas, el IPS actúa. Las bases de datos de firmas deben actualizarse regularmente con nueva información sobre amenazas a medida que surgen nuevos ciberataques y evolucionan los ataques existentes. Sin embargo, no será capaz de detectar los ataques no analizados y añadidos a la base de datos de firmas previamente.

Detección basada en anomalías:

Con este método se utiliza la inteligencia artificial y el machine learning para crear y perfeccionar continuamente un modelo de referencia de la actividad normal de la red. El IPS compara la actividad de la red en curso con el modelo y entra en acción cuando detecta desviaciones, como un proceso que utiliza más ancho de banda de lo normal o un dispositivo que abre un puerto que normalmente está cerrado. Es más propenso a dar falsos positivos pero puede detectar ataques de día 0.

Detección basada en políticas:

Los métodos de detección basados en políticas se basan en las políticas de seguridad establecidas por el equipo de seguridad. Siempre que un IPS basado en políticas detecta una acción que viola una política de seguridad, la bloquea. Normalmente se utilizan los métodos anteriores aplicados en políticas concretas. De esta manera los equipos SOC disponen de una gran capacidad de personalización ya que puedes acotar que debe bloquear el IPS y en que circunstancias.

Buenas prácticas a la hora de utilizar nuestro IPS:

Cabe recalcar que normalmente los fabricantes tienen mucho en cuenta la adaptabilidad de sus productos a la red de sus cliente, por esto IPS es bastante personalizable en la mayoría de los casos y es importante llevarlo adecuadamente, las buenas prácticas para utilizar este producto son:

  • Mantener la BBDD de firmas actualizada.
  • Clonar los IPS ya incluidos por el fabricante(En caso de que el fabricante tenga esa opción) para crear perfiles custom adatados a tu red.
  • Usar IPS para tráfico de entrada y para tráfico de salida.
  • Poner el IPS junto con inspección SSL si el firewall lo permite y lo requiere dado que en muchos casos si el firewall no desencripta el tráfico encriptado el IPS no va a poder realizar sus labores.

Fuentes

Tags:

Artículos relacionados

“Warshipping: El peligro que se oculta en los paquetes que recibes”

3 meses ago socn2axians

Explorando el Framework MITRE ATT&CK

5 meses ago SOC Axians

RUSIA Y SU CIBER-RESPUESTA DESCENTRALIZADA

2 años ago SOC Axians

Momento de renovar la contraseña? Te ayudamos

3 años ago SOC Axians

“Have I Been Emotet” – Servicio para comprobar dominios o Email involucrados con el famoso troyano.

3 años ago SOC Axians

Proyecto Freta: nuevo servicio de Microsoft para la investigación forense de memoria volátil en Linux

4 años ago SOC Axians

Centro de preferencias de privacidad

Gestión de consentimientos

Política de Privacidad

Obligatorio
Los datos de carácter personal (Tratamiento, nombre, apellido y correo electrónico) recopilados a partir de este formulario de contacto se transmitirán únicamente al servicio de comunicación de Axians España. Esta información sirve para tratar y poder responder a su solicitud. No se hará ningún tratamiento de sus datos con fines estadísticos, analíticos o comerciales. Por razones de seguridad, se registra la dirección IP del remitente para cada solicitud de contacto por medio de este formulario. Por favor, antes de enviar su mensaje revise nuestra Política de Privacidad"

Necessary

Advertising

Analytics

Other