La conectividad aumenta las vulneraciones y la superficie de ataque
Una vulneración o intrusión es cualquier acceso o actividad no autorizados en una red o un sistema informático. Los responsables de las amenazas usan diferentes métodos y vulnerabilidades para acceder a los recursos confidenciales, robar datos privados, modificar datos, destruir recursos o bloquear el acceso legítimo a los recursos para perjudicar las operaciones empresariales productivas. A estas personas los impulsan numerosos objetivos que van desde ganancias monetarias, venganza, empleados insatisfechos, conflictos políticos o ideológicos, o simplemente para obtener una ventaja competitiva.
La superficie de ataque es el área de la red y otras operaciones digitales potencialmente propensas a la intrusión de un acceso no autorizado. Mientras más conectadas estén las redes y los recursos, más amplia será la superficie de ataque.
Tradicionalmente, las redes empresariales internas se protegían del mundo exterior al negar el acceso a Internet en su totalidad o permitirlo solo con el uso de un potente firewall en el centro de datos. Pero con la llegada de la transformación digital (las tendencias de movilidad, el acceso a Internet en todas partes, la informática basada en la nube, los servicios y las empresas nativos en la nube, el trabajo desde cualquier sitio en una escala inimaginable antes de 2020), las empresas prosperan o fallan en la extensión de su conectividad. La superficie de ataque es enorme. Es imperativo contar con métodos de vigilancia como IPS e IDS.
¿De qué manera los IDS/IPS detectan amenazas?
Los IDS/IPS detectan actividades sospechosas o no autorizadas, como los ataques de suplantación de identidad (phishing), la infección y distribución de virus, la instalación y descarga de malware y ransomware, la denegación de servicio (DOS), los ataques de intermediarios, los ataques de día cero, la inyección SQL, entre otros. Debido al crecimiento en la WAN en la nube y la movilidad, detener los ataques cibernéticos se ha vuelto cada vez más difícil y los atacantes se han vuelto más sofisticados en sus tácticas.
Comprender las amenazas de su organización
Las amenazas conocidas por lo general se detectan comparando los patrones de tráfico con los patrones característicos. Las bases de datos que se actualizan con frecuencia contienen numerosas firmas que caracterizan a las amenazas existentes. Los sistemas de IDS/IPS buscan continuamente coincidencias con las firmas conocidas.
Las amenazas desconocidas son patrones maliciosos que nunca se han visto antes (a veces se trata de variaciones evasivas de las amenazas conocidas) y son mucho más difíciles de detectar. Los IDS/IPS usan los análisis conductuales para localizar patrones de tráfico potencialmente anómalos. Se establecen y actualizan modelos de redes “comunes” mediante el uso del aprendizaje automático, la heurística y la AI. Los IDS/IPS comparan continuamente el tráfico real de las redes con estos modelos para reconocer conductas potencialmente inconsistentes que podrían indicar una intrusión.