Intrusion Detection and Prevention Systems (IDPS) operate by monitoring network traffic, analyzing it and providing remediation tactics when malicious behavior is detected. Buscan comportamientos o características coincidentes que indiquen tráfico malicioso, envían alertas y bloquean ataques.
tener las capacidades de detección y prevención son vitales para una infraestructura de seguridad efectiva., La detección solo identifica el comportamiento malicioso, pero no toma medidas para bloquear o prevenir ataques cuando se detecta uno. Solo registrará estas alertas. Los sistemas de prevención pueden ajustar las reglas de firewall sobre la marcha para bloquear o eliminar el tráfico malicioso cuando se detecta, pero no tienen las sólidas capacidades de identificación de los sistemas de detección.
Las herramientas IDPS pueden detectar malware, ataques de ingeniería social y otras amenazas basadas en la web, incluidos los ataques DDoS. También pueden proporcionar capacidades preventivas de prevención de intrusiones para amenazas internas y sistemas potencialmente comprometidos.,
tenga en cuenta al revisar nuestra lista de las principales herramientas de software de IDPS que es posible que no necesite comprarlas como productos independientes. También se pueden incluir con otras herramientas de seguridad, como firewalls de próxima generación (NGFW), y pueden ir por otros nombres, como prevención de amenazas.,td>Signature based
McAfee NSP
McAfee Network Security Platform (NSP) es una solución de prevención y detección de intrusiones de última generación que protege los sistemas y los datos dondequiera que residan, en los centros de datos, la nube y los entornos empresariales híbridos., McAfee ha sido durante mucho tiempo uno de los nombres más grandes en ciberseguridad y ha demostrado por qué con este completo Producto IDPS.
puede admitir hasta 32 millones de conexiones en un solo dispositivo y utiliza inteligencia para encontrar y bloquear amenazas de malware sofisticadas y ataques dirigidos avanzados en una red. Ofrece análisis de bots inteligentes, monitoreo mejorado de aplicaciones de punto final, Análisis de datos de flujo, perfiles de DoS de autoaprendizaje y una función de análisis para identificar hosts potencialmente maliciosos.,
Los usuarios elogian a McAfee NSP por su flexibilidad, su arquitectura integral y su sencilla operatividad. Cuando se trata de hardware, NSP puede satisfacer la gama completa de necesidades del cliente con sus cuatro modelos de sensores.
Trend Micro TippingPoint
Trend Micro TippingPoint identifica y bloquea el tráfico malicioso, evita el movimiento lateral del malware, garantiza la disponibilidad y resistencia de la red y mejora el rendimiento de la red. Se puede implementar en la red sin dirección IP o MAC para filtrar inmediatamente el tráfico malicioso y no deseado., Los filtros de seguridad de Digital Vaccine threat intelligence cubren toda la huella de vulnerabilidad, no solo exploits específicos. La solución ofrece un rendimiento de inspección de tráfico de red de hasta 120 Gbps.
TippingPoint utiliza una combinación de tecnologías, como la inspección profunda de paquetes y la reputación de amenazas, para adoptar un enfoque proactivo de la seguridad de la red. Su análisis en profundidad del tráfico garantiza una alta precisión en la detección de amenazas y Proporciona conocimiento contextual para dar a los equipos de seguridad una mejor comprensión de cómo remediar una amenaza., Las soluciones TippingPoint se proporcionan como hardware o plataformas virtuales y proporcionan protección contra vulnerabilidades en tiempo real a través de la inteligencia automatizada contra amenazas de vacunas.
Darktrace Enterprise Immune System
Darktrace Enterprise Immune System es una tecnología de aprendizaje automático e inteligencia artificial (IA) para la ciberdefensa. Hace honor a su nombre al modelar su funcionalidad según el sistema inmune humano. Iterativamente aprende un «patrón de vida» único para cada dispositivo y usuario en una red, y correlaciona estos conocimientos para detectar amenazas emergentes que de otro modo pasarían desapercibidas.,
Darktrace Enterprise Immune System también puede implementar esfuerzos de prevención automática para dar a los equipos de seguridad un tiempo precioso para defenderse. Este sistema puede detectar amenazas en entornos de nube, redes corporativas y sistemas de control industrial. El galardonado visualizador de amenazas de Darktrace proporciona una visibilidad holística de la infraestructura de seguridad de la red y una supervisión completa de las alertas y acciones de la IA.
Darktrace no se considera una solución IPS o IDPS, y Gartner está de acuerdo en que la empresa no se ajusta a esa categoría., Sin embargo, la firma de analistas lo nombró un proveedor para observar en esta área del mercado. Este producto IDPS está disponible como un dispositivo de software y hardware.
Cisco Firepower NGIPS
El sistema de prevención de intrusiones de última generación de Cisco viene en software y dispositivos físicos y virtuales para pequeñas sucursales hasta grandes empresas, ofreciendo un rendimiento de 50 Mbps Hasta 60 Mbps. NGIPS ofrece inteligencia de seguridad basada en URL, integración de AMP Threat Grid y está respaldada por el equipo de investigación de seguridad de Talos de la compañía.,
el Centro de gestión de potencia de fuego proporciona datos contextuales sobre amenazas para ayudar a los equipos a identificar el tipo de amenaza que enfrentan y ayuda a encontrar la causa raíz del problema. Cisco actualiza Firepower con nuevas firmas cada dos horas, lo que garantiza que el sistema sea capaz de detectar las amenazas más recientes y avanzadas.
Gartner ha clasificado A Cisco Firepower NGIPS como líder del Cuadrante Mágico durante siete años consecutivos, y la organización independiente de pruebas de NSS Labs lo ha considerado una solución IPS «recomendada» durante los últimos ocho años.,
AT& T Cybersecurity USM
AT& T Cybersecurity Unified Security Management (USM) – anteriormente AlienVault – ofrece detección de amenazas, respuesta a incidentes y gestión de cumplimiento en una plataforma unificada. Integra cinco componentes esenciales de una solución de seguridad integral: descubrimiento de activos, evaluación de vulnerabilidades, detección de intrusos, supervisión del comportamiento y gestión de Registros SIEM.,
la inteligencia de amenazas continuamente actualizada tanto de AlienVault Labs como de AlienVault Open Threat Exchange mantiene el sistema actualizado sobre actores, amenazas, herramientas y métodos maliciosos. También ofrece contexto sobre las últimas alarmas y vulnerabilidades para ahorrar a los equipos el tiempo de hacer la investigación ellos mismos. Su sistema de alarma clasifica las amenazas en función del nivel de riesgo para ayudar a los equipos de seguridad a priorizar las respuestas.,
sus sólidas capacidades de búsqueda y filtrado permiten a los equipos aislar alarmas o eventos de interés para que puedan profundizar en detalles de información sobre amenazas, eventos relacionados, así como recomendaciones para respuestas a incidentes. También hay una larga lista de opciones de respuesta a incidentes que se pueden iniciar directamente desde la consola.
AlienVault USM se puede implementar en entornos locales y en la nube.
Palo Alto Networks
Palo Alto Networks es probablemente más famoso por sus potentes firewalls de próxima generación., El producto de prevención de amenazas de Palo Alto Networks fue desarrollado para acelerar las capacidades de su NGFW a través de escaneo y prevención inteligentes. Su objetivo es evitar ciberataques exitosos a través de la automatización.
prevención de amenazas puede inspeccionar todo el tráfico con el contexto completo del usuario, evitando automáticamente las amenazas conocidas, independientemente del puerto, el protocolo o el cifrado SSL. Su inteligencia de amenazas se actualiza automáticamente todos los días, se entrega a la NGFW y es implementada por Threat Prevention para detener todas las amenazas.,
Palo Alto Networks también hizo un esfuerzo para garantizar un rendimiento impresionante constante. Su arquitectura de paso único y la gestión de políticas proporcionan una detección y prevención completas de amenazas sin sacrificar el rendimiento.
NSFOCUS NGIPS
El NSFOCUS Next-Generation Intrusion Prevention System (NGIPS) proporciona protección contra amenazas que bloquea las intrusiones, previene las infracciones y protege los activos., Utiliza un enfoque de múltiples capas para identificar y abordar amenazas persistentes conocidas, de día cero y avanzadas para protegerse de malware, gusanos, spyware, troyanos de puerta trasera, fugas de datos, craqueo de fuerza bruta, ataques de protocolo, exploración/sondeo y amenazas web.
admite la capacidad de procesamiento de hasta 20 Gbps de datos de capa de aplicación. La herramienta de sandboxing Virtual nsfocus puede identificar, evaluar y mitigar amenazas persistentes conocidas y avanzadas.
NSFOCUS NGIPS está disponible como máquinas físicas y virtuales.,
Blumira Automated Detection & Response
Blumira Automated Detection & la plataforma de Respuesta permite a las organizaciones defenderse de manera más eficiente contra las amenazas de ciberseguridad casi en tiempo real. Está diseñado para cortar el ruido de las alertas de falsos positivos y solo centrar la atención en el verdadero comportamiento malicioso para aliviar la carga de la fatiga de alerta.
más allá de identificar amenazas, la respuesta automatizada a amenazas de Blumira funciona casi en tiempo real para detener las amenazas internas y externas., El sistema también incluye guías paso a paso para guiar los esfuerzos de reparación. El panel de administración proporciona información adicional sobre las amenazas a lo largo del tiempo, análisis abiertos y amenazas sospechosas.
Blumira es una plataforma completamente entregada en la nube por lo que se puede implementar de manera fácil y rápida. Y con una sólida orquestación de seguridad y automatización integradas en este IDPS, puede ser administrada por equipos de prácticamente cualquier tamaño.,
funciones principales del sistema de detección y prevención de intrusiones
Las funciones principales de las soluciones IDPS se pueden dividir en cuatro categorías principales:
- monitoreo: IDPS monitorea los sistemas de TI utilizando la detección de intrusiones basada en firmas o en anomalías para identificar comportamientos anormales y actividad maliciosa de firmas.
- alertas: después de identificar amenazas potenciales, el software IDPS registrará y enviará notificaciones de alerta para informar a los administradores de actividad anormal.,
- remediación: las herramientas IDPS proporcionan mecanismos de bloqueo para amenazas maliciosas, dando a los administradores tiempo para tomar medidas. En algunos casos, es posible que los equipos de TI no estén obligados a tomar medidas después de que se bloquee un ataque.
- mantenimiento: además de monitorear el comportamiento anormal, las herramientas IDPS también pueden monitorear el rendimiento del hardware de ti y los componentes de seguridad con comprobaciones de estado. Esto garantiza que una infraestructura de seguridad esté funcionando correctamente en todo momento.
sistemas de detección de intrusos (IDS) vs, Sistemas de prevención de intrusiones (IPS)
como se mencionó anteriormente, una herramienta verdaderamente holística para los desplazados internos requiere capacidades tanto de detección como de prevención. Al buscar soluciones, es probable que encuentre tanto sistemas de detección de intrusiones (IDS) como sistemas de prevención de intrusiones (IPS). Estos son productos independientes y no deben confundirse con IDPS, lo que le ayudará a evitar grandes agujeros en su infraestructura de seguridad.
Las herramientas IDS solo están diseñadas para detectar actividades maliciosas y registrar y enviar alertas. No son capaces de prevenir un ataque., Las alertas que generan siempre requieren la intervención humana.
IPS, por otro lado, responde en base a criterios predeterminados de tipos de ataques bloqueando el tráfico y eliminando procesos maliciosos. Desafortunadamente, las herramientas IPS conducen a más falsos positivos, ya que tienen capacidades de detección inferiores en comparación con los IDS.
Las soluciones IDPS incorporan las fortalezas de ambos sistemas en un producto o conjunto de productos.
tipos de desplazados internos
los tipos de desplazados internos pueden clasificarse de acuerdo con lo que están diseñados para proteger., Generalmente se clasifican en dos tipos: basado en host y basado en red.
Host-Based IDPS
Host-based IDPS es un software implementado en el host que solo supervisa el tráfico para conectarse a y desde ese host. Por lo general, solo protege un punto final único y específico. En algunos casos, también puede supervisar los archivos del sistema almacenados en el host en busca de cambios no autorizados y procesos que se ejecutan en el sistema.,
desplazados internos basados en red
los desplazados internos basados en red, también llamados a veces sistemas de detección de intrusiones de red (NID), se implementan en un lugar donde puede monitorear el tráfico de un segmento o subred de red completa. Su funcionalidad se asemeja un poco a los firewalls, que solo son capaces de evitar intrusiones procedentes de fuera de la red y hacer cumplir las listas de control de acceso (ACL) entre redes.
Los NID están diseñados para detectar y alertar sobre tráfico interno malicioso potencial que se mueve lateralmente a través de una red; esto lo convierte en una gran herramienta para un marco de seguridad de confianza cero., El tráfico se analiza en busca de signos de comportamiento malicioso en función de los perfiles de los tipos comunes de ataques.
metodologías de detección de intrusos
estos sistemas identifican amenazas potenciales basándose en reglas y perfiles incorporados. Las más comunes son las metodologías de detección basadas en firmas y en anomalías.
detección de intrusiones basada en firmas
la detección de intrusiones basada en firmas busca instancias de ataques conocidos. Cuando se identifica contenido malicioso, se analiza en busca de características únicas para crear una huella digital, o firma, para ese ataque específico., Esta firma podría tener la forma de una identidad conocida o un patrón de comportamiento. Los sistemas basados en firmas luego comparan esta huella digital con una base de datos de firmas preexistentes para identificar el tipo específico de ataque. La desventaja de estos sistemas es que deben actualizarse regularmente para poder reconocer tipos de ataques nuevos y en evolución.
detección de intrusiones basada en anomalías
la detección de intrusiones basada en anomalías crea un modelo inicial de comportamiento «normal» para un sistema específico en lugar de crear huellas dactilares., A continuación, el sistema comparará todo el comportamiento en tiempo real con el modelo normal previamente creado para identificar anomalías de comportamiento. Estas instancias de comportamiento anormal se utilizan para identificar ataques potenciales y activar alertas.
contrastar los IDPS basados en firmas vs. basados en anomalías
hay problemas con ambos sistemas individualmente. La detección basada en firmas tiene pocos falsos positivos, pero solo puede detectar ataques conocidos. Esto los hace vulnerables a nuevos y cambiantes métodos de ataque.
la detección basada en anomalías puede conducir a altos falsos positivos, ya que alerta sobre todo el comportamiento anómalo., Pero tiene el potencial de detectar amenazas de día cero. Afortunadamente, muchos productos de IDPS combinan ambas metodologías para complementar sus fortalezas y debilidades.
desafíos al administrar IDPS
puede experimentar algunos desafíos cuando se trata de herramientas de software de IDPS. Estos son algunos para tener en cuenta:
- falsos positivos: casi seguramente se encontrará con el problema de las alertas de falsos positivos, que pueden perder tiempo y recursos. Esté atento cuando se le notifique de un comportamiento potencialmente malicioso, pero también tenga en cuenta que no es una garantía de un ataque.,
- dotación de personal: la ciberseguridad es tan esencial para las organizaciones modernas que actualmente hay una escasez de profesionales de seguridad disponibles. Antes de implementar un sistema de IDPS, asegúrese de haber formado un equipo que tenga las capacidades para administrarlo de manera efectiva.
- riesgos genuinos: más allá de la gestión de un IDPS, habrá casos en los que se requiere la intervención del administrador. An IDPS can block many attacks but not all. Asegúrate de que los equipos mantengan sus conocimientos actualizados sobre los nuevos tipos de ataques para que no sean sorprendidos cuando uno sea identificado.