IDS vs IPS: Diferencias entre IDS e IPS

Introducción a los sistemas de detección de intrusiones (IDS) y a los sistemas de protección contra intrusiones (IPS)

¿Qué es el IDS?

IDS o "intrusion detection systems" es un software especialmente diseñado para proteger una red o sistema contra el tráfico malicioso. Cualquier actividad de aspecto peligroso suele notificarse a un administrador.

¿Qué es el IPS?

IPS o "sistema de prevención de intrusiones" (también conocido como "sistemas de detección y prevención de intrusiones" o IPDS), es una aplicación que funciona identificando, informando e incluso previniendo posibles programas maliciosos.

¿Cuál es la diferencia entre IDS e IPS?

Al igual que un cortafuegos, el IPS se despliega en línea con el flujo de tráfico. El IPS es un componente activo de la red que examina cada paquete que pasa y toma las medidas correctivas adecuadas según su configuración y política. Por el contrario, el IDS es un componente pasivo que no suele desplegarse en línea, sino que supervisa el flujo de tráfico mediante tecnología span o tap para emitir notificaciones.

Fusión de IDS, IPS y cortafuegos en el mercado

La función de detección de IDS e IPS a menudo se solapa, y los proveedores de IPS e IDS del mercado suelen integrar ambas capacidades de protección en una sola. Las opciones de configuración permiten al administrador controlar si sólo se emiten alertas (IDS tradicional) o si es necesario tomar medidas correctoras (IPS tradicional).

La tecnología IPS y de cortafuegos también puede integrarse debido a la similitud de sus controles de políticas basados en reglas. En lo que se refiere a IPS frente a cortafuegos, un cortafuegos normalmente permite o deniega el tráfico en función de los puertos o las direcciones de origen/destino, mientras que IPS compara los patrones de tráfico con las firmas y permite o deniega los paquetes en función de las coincidencias de firma encontradas. Por lo tanto, ambos productos tienen similitudes en la forma en que pueden detener actividades de tráfico sospechosas o maliciosas.

Dado que el rendimiento general de la solución mejora al desempaquetar y analizar un paquete una sola vez, los proveedores de seguridad suelen combinar los tres productos para poder mantener un alto rendimiento y, al mismo tiempo, aplicar las políticas, notificaciones y acciones necesarias.

La conectividad aumenta las brechas y la superficie de ataque

Una brecha o intrusión es cualquier acceso o actividad no autorizada en una red o sistema informático. Los actores de amenazas explotan diversos métodos y vulnerabilidades para acceder a recursos confidenciales, robar datos privados, alterar datos, destruir recursos o bloquear el acceso legítimo a recursos para perjudicar el funcionamiento productivo de la empresa. Las motivaciones de los actores de las amenazas son muy variadas: beneficios económicos, venganza, empleados descontentos, conflictos ideológicos o políticos, o simplemente una ventaja competitiva.

La superficie de ataque es el área de su red y de otras operaciones digitales potencialmente abierta a la intrusión de accesos no autorizados. Cuanto más conectados estén su red y sus recursos, más amplia será la superficie de ataque.

Tradicionalmente, las redes internas de las empresas se protegían del mundo exterior denegando totalmente el acceso a Internet o permitiéndolo únicamente tras el robusto cortafuegos del centro de datos. Pero con la llegada de la transformación digital -tendencias en movilidad, acceso a Internet en todas partes, computación basada en la nube, empresas y servicios nativos de la nube, trabajo desde casa a una escala inimaginable antes de 2020- las empresas ahora prosperan o fracasan en función del alcance mismo de su conectividad. La superficie de ataque es enorme. La vigilancia como IPS/IDS es imperativa.

¿Cómo detectan las amenazas los IDS/IPS?

Los sistemas IDS/IPS detectan actividades sospechosas o no autorizadas, como ataques de phishing, infección y distribución de virus, instalación y descarga de malware y ransomware, denegación de servicio (DOS), ataques man-in-the-middle, ataques de día cero, inyección SQL, etc. Debido al crecimiento de la WAN en la nube y la movilidad, detener los ciberataques se ha vuelto más difícil, al tiempo que los atacantes han sofisticado sus tácticas.

Comprender las amenazas de su organización

Las amenazas conocidas suelen detectarse comparando patrones de tráfico con patrones de firmas. Las bases de datos, que se actualizan con frecuencia, contienen grandes cantidades de firmas que caracterizan las amenazas existentes. Los sistemas IDS/IPS buscan continuamente coincidencias con las firmas conocidas.

Las amenazas desconocidas son patrones maliciosos nunca vistos -a veces variaciones evasivas de amenazas conocidas- y son mucho más difíciles de detectar. Los IDS/IPS utilizan el análisis del comportamiento para detectar patrones de tráfico potencialmente anómalos. Los modelos de comportamiento "ordinario" de la red se establecen y actualizan mediante aprendizaje automático, heurística e IA. IDS/IPS compara continuamente el tráfico de red real con estos modelos para reconocer comportamientos potencialmente incoherentes que podrían indicar un evento de intrusión.

Los distintos tipos de IPS e IDS

Tipos de sistemas de detección de intrusiones (IDS)

Los sistemas de detección de intrusos suelen ser de dos tipos:

  • Sistemas de detección de intrusiones en la red (NIDS): El sistema forma parte de la infraestructura de red y supervisa los paquetes a medida que fluyen por la red. Los NIDS suelen convivir con dispositivos con capacidad de span, tap o mirroring, como los switches.
  • Sistemas de detección de intrusiones basados en host (HIDS): Este software reside en los dispositivos cliente, ordenador o servidor, y supervisa los eventos y archivos del dispositivo.

Tipos de sistemas de protección contra intrusiones (IPS)

Existen varios tipos de sistemas de protección contra intrusiones:

  • Sistema de prevención de intrusiones basado en red (NIPS): Este sistema se despliega en línea en la infraestructura de red y examina todo el tráfico en toda la red.
  • Sistema de prevención de intrusiones inalámbricas (WIPS): Este sistema forma parte de la infraestructura de red inalámbrica y examina todo el tráfico inalámbrico.
  • Sistema de prevención de intrusiones basado en host (HIPS): Este software reside en los dispositivos cliente, ordenador o servidor, y supervisa los eventos y archivos del dispositivo.
  • IPS de comportamiento: Este sistema forma parte de la infraestructura de red y examina todo el tráfico en busca de patrones y comportamientos inusuales en toda la red.

 

Una SD-WAN segura requiere tanto IDS como IPS

La arquitectura IP de nube segura de Versa ofrece una solución SD-WAN segura única en una oferta integrada de una sola pila, agnóstica en cuanto a hardware y sólo software, que se adapta a las necesidades de cualquier red. La integración de la seguridad en la propia estructura de la solución simplifica la arquitectura de la red, reduce el número de dispositivos que hay que gestionar y limita la superficie de ataque.

La arquitectura de procesamiento en paralelo de paso único Versa Secure SD-WAN garantiza el máximo rendimiento de inspección IDS/IPS y evita la necesidad de dispositivos de inspección de intrusiones dedicados a un solo propósito. La integración básica de la seguridad en la pila Versa garantiza que la funcionalidad IDS/IPS completa esté disponible en cualquier punto de la red para proteger frente a cualquier conexión a Internet, red pública, dispositivo móvil personal o IoT.

 

Versa Secure SD-WAN ofrece más que IDS/IPS

Un aspecto clave de la seguridad definida por software Secure SD-WAN de Versa es la inteligencia contextual y el conocimiento de usuarios, dispositivos, sitios, circuitos y nubes. Esto permite políticas sólidas y dinámicas que soportan una postura de seguridad multicapa. Por ejemplo, TI puede desplegar políticas IPS contextuales para usuarios y dispositivos específicos, al utilizar determinados enlaces de sitio a sitio o de Internet.

La verdadera arquitectura multiusuario de Versa -que abarca la segmentación y el aislamiento completos de los planos de datos, control y gestión- permite definir políticas IDS/IPS personalizadas para cada subred, organización o unidad de negocio dentro de su red.