Sistema de detección de intrusos

Un sistema de detección de intrusos (IDS; también sistema de prevención de intrusos o IPS) es un dispositivo o software aplicación que monitorea una red o sistemas en busca de actividad maliciosa o violaciones de políticas. Cualquier actividad de intrusión o violación generalmente se informa a un administrador o se recopila de forma centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM). Un sistema SIEM combina salidas de múltiples fuentes y utiliza técnicas de filtrado de alarmas para distinguir la actividad maliciosa de las falsas alarmas.

Los tipos de IDS varían en alcance, desde computadoras individuales hasta grandes redes. Las clasificaciones más comunes son sistemas de detección de intrusos en la red (NIDS) y sistemas de detección de intrusos basados en host (HIDS). Un sistema que supervisa archivos importantes del sistema operativo es un ejemplo de HIDS, mientras que un sistema que analiza el tráfico de red entrante es un ejemplo de NIDS. También es posible clasificar los IDS por enfoque de detección. Las variantes más conocidas son la detección basada en firmas (que reconoce malos patrones, como malware) y la detección basada en anomalías (que detecta desviaciones de un modelo de tráfico "bueno", que a menudo se basa en el aprendizaje automático). Otra variante común es la detección basada en la reputación (reconociendo la amenaza potencial según las puntuaciones de reputación). Algunos productos IDS tienen la capacidad de responder a las intrusiones detectadas. Los sistemas con capacidades de respuesta suelen denominarse sistema de prevención de intrusiones. Los sistemas de detección de intrusos también pueden servir para fines específicos al aumentarlos con herramientas personalizadas, como el uso de un señuelo para atraer y caracterizar el tráfico malicioso.

Comparación con cortafuegos

Aunque ambos se relacionan con la seguridad de la red, un IDS se diferencia de un firewall en que un firewall de red tradicional (a diferencia de un firewall de próxima generación) usa un conjunto estático de reglas para permitir o denegar conexiones de red. Previene implícitamente las intrusiones, suponiendo que se haya definido un conjunto adecuado de reglas. Esencialmente, los cortafuegos limitan el acceso entre redes para evitar intrusiones y no señalan un ataque desde el interior de la red. Un IDS describe una intrusión sospechosa una vez que se ha producido y señala una alarma. Un IDS también vigila los ataques que se originan dentro de un sistema. Esto se logra tradicionalmente examinando las comunicaciones de red, identificando heurísticas y patrones (a menudo conocidos como firmas) de ataques informáticos comunes y tomando medidas para alertar a los operadores. Un sistema que finaliza las conexiones se denomina sistema de prevención de intrusiones y realiza el control de acceso como un firewall de capa de aplicación.

Categoría de detección de intrusos

Los IDS se pueden clasificar según el lugar donde se lleva a cabo la detección (red o host) o el método de detección que se emplea (basado en firmas o anomalías).

Actividad analizada

Sistemas de detección de intrusos en la red

Los sistemas de detección de intrusos en la red (NIDS) se colocan en un punto o puntos estratégicos dentro de la red para monitorear el tráfico hacia y desde todos los dispositivos en la red. Realiza un análisis del tráfico que pasa en toda la subred y compara el tráfico que pasa en las subredes con la biblioteca de ataques conocidos. Una vez que se identifica un ataque o se detecta un comportamiento anormal, la alerta se puede enviar al administrador. Un ejemplo de un NIDS sería instalarlo en la subred donde se encuentran los cortafuegos para ver si alguien está tratando de entrar en el cortafuegos. Idealmente, uno escanearía todo el tráfico entrante y saliente, sin embargo, hacerlo podría crear un cuello de botella que afectaría la velocidad general de la red. OPNET y NetSim son herramientas comúnmente utilizadas para simular sistemas de detección de intrusos en la red. Los sistemas NID también son capaces de comparar firmas de paquetes similares para vincular y descartar paquetes dañinos detectados que tienen una firma que coincide con los registros en el NIDS. Cuando clasificamos el diseño del NIDS de acuerdo con la propiedad de interactividad del sistema, hay dos tipos: NIDS en línea y fuera de línea, a menudo denominados modo en línea y tap, respectivamente. El NIDS en línea se ocupa de la red en tiempo real. Analiza los paquetes de Ethernet y aplica algunas reglas, para decidir si es un ataque o no. El NIDS fuera de línea se ocupa de los datos almacenados y los pasa a través de algunos procesos para decidir si se trata de un ataque o no.

NIDS también se puede combinar con otras tecnologías para aumentar las tasas de detección y predicción. Los IDS basados en Redes Neuronales Artificiales son capaces de analizar grandes volúmenes de datos, de manera inteligente, debido a la estructura de autoorganización que permite que los IDS del INS reconozcan de manera más eficiente los patrones de intrusión. Las redes neuronales ayudan a IDS a predecir ataques aprendiendo de los errores; INN IDS ayuda a desarrollar un sistema de alerta temprana, basado en dos capas. La primera capa acepta valores únicos, mientras que la segunda capa toma la salida de las capas de la primera como entrada; el ciclo se repite y permite que el sistema reconozca automáticamente nuevos patrones imprevistos en la red. Este sistema puede promediar una tasa de detección y clasificación del 99,9 %, según los resultados de la investigación de 24 ataques de red, divididos en cuatro categorías: DOS, Probe, Remote-to-Local y user-to-root.

Sistemas de detección de intrusos en el host

Los sistemas de detección de intrusos en el host (HIDS) se ejecutan en hosts o dispositivos individuales en la red. Un HIDS monitorea los paquetes entrantes y salientes del dispositivo solamente y alertará al usuario o administrador si se detecta actividad sospechosa. Toma una instantánea de los archivos del sistema existentes y la compara con la instantánea anterior. Si los archivos críticos del sistema se modificaron o eliminaron, se envía una alerta al administrador para que investigue. Se puede ver un ejemplo del uso de HIDS en máquinas de misión crítica, que no se espera que cambien sus configuraciones.

Método de detección

El IDS basado en firmas es la detección de ataques mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o secuencias de instrucciones maliciosas conocidas utilizadas por malware. Esta terminología se origina en el software antivirus, que se refiere a estos patrones detectados como firmas. Aunque los IDS basados en firmas pueden detectar fácilmente ataques conocidos, es difícil detectar nuevos ataques, para los cuales no hay un patrón disponible.

En el IDS basado en firmas, las firmas son emitidas por un proveedor para todos sus productos. La actualización a tiempo del IDS con la firma es un aspecto clave.

Basado en anomalías

Los sistemas de detección de intrusos basados en anomalías se introdujeron principalmente para detectar ataques desconocidos, en parte debido al rápido desarrollo del malware. El enfoque básico es utilizar el aprendizaje automático para crear un modelo de actividad confiable y luego comparar el nuevo comportamiento con este modelo. Dado que estos modelos se pueden entrenar de acuerdo con las aplicaciones y las configuraciones de hardware, el método basado en el aprendizaje automático tiene una mejor propiedad generalizada en comparación con los IDS tradicionales basados en firmas. Aunque este enfoque permite la detección de ataques previamente desconocidos, puede sufrir falsos positivos: la actividad legítima previamente desconocida también puede clasificarse como maliciosa. La mayoría de los IDS existentes sufren por el tiempo que consume durante el proceso de detección que degrada el rendimiento de los IDS. El algoritmo de selección de características eficiente hace que el proceso de clasificación utilizado en la detección sea más confiable.

Gartner considera nuevos tipos de lo que podría denominarse sistemas de detección de intrusos basados en anomalías como análisis de comportamiento de usuarios y entidades (UEBA) (una evolución de la categoría de análisis de comportamiento de usuarios) y análisis de tráfico de red (NTA). En particular, NTA se ocupa de los internos maliciosos, así como de los ataques externos dirigidos que han comprometido la máquina o la cuenta de un usuario. Gartner ha notado que algunas organizaciones han optado por NTA en lugar de IDS más tradicional.

Prevención de intrusiones

Algunos sistemas pueden intentar detener un intento de intrusión, pero esto no se requiere ni se espera de un sistema de monitoreo. Los sistemas de detección y prevención de intrusiones (IDPS) se centran principalmente en identificar posibles incidentes, registrar información sobre ellos y reportar intentos. Además, las organizaciones usan IDPS para otros fines, como identificar problemas con las políticas de seguridad, documentar las amenazas existentes y disuadir a las personas de violar las políticas de seguridad. Los IDPS se han convertido en una adición necesaria a la infraestructura de seguridad de casi todas las organizaciones.

IDPS normalmente registra información relacionada con eventos observados, notifica a los administradores de seguridad sobre eventos observados importantes y genera informes. Muchos IDPS también pueden responder a una amenaza detectada intentando evitar que tenga éxito. Utilizan varias técnicas de respuesta, que implican que el IDPS detenga el ataque, cambie el entorno de seguridad (por ejemplo, reconfigure un firewall) o cambie el contenido del ataque.

Sistemas de prevención de intrusos (IPS), también conocidos como sistemas de prevención y detección de intrusos (IDPS), son dispositivos de seguridad de red que monitorean las actividades de la red o del sistema en busca de actividad maliciosa. Las funciones principales de los sistemas de prevención de intrusiones son identificar actividades maliciosas, registrar información sobre esta actividad, informarla e intentar bloquearla o detenerla.

Los sistemas de prevención de intrusiones se consideran extensiones de los sistemas de detección de intrusiones porque monitorean el tráfico de la red y/o las actividades del sistema en busca de actividad maliciosa. Las principales diferencias son que, a diferencia de los sistemas de detección de intrusos, los sistemas de prevención de intrusos se colocan en línea y pueden prevenir o bloquear activamente las intrusiones que se detectan. IPS puede realizar acciones como enviar una alarma, descartar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico de la dirección IP infractora. Un IPS también puede corregir errores de comprobación de redundancia cíclica (CRC), desfragmentar flujos de paquetes, mitigar problemas de secuencia de TCP y limpiar opciones de capa de red y transporte no deseadas.

Clasificación

Los sistemas de prevención de intrusiones se pueden clasificar en cuatro tipos diferentes:

1. Sistema de prevención de la intrusión basada en la red (NIPS): monitorea toda la red para tráfico sospechoso analizando la actividad de protocolo.
2. Sistema inalámbrico de prevención de la intrusión (WIPS): monitorear una red inalámbrica para tráfico sospechoso analizando protocolos de redes inalámbricas.
3. Análisis del comportamiento de la red (NBA): examina el tráfico de red para identificar amenazas que generan flujos de tráfico inusuales, como la negación distribuida de ataques de servicio (DDoS), ciertas formas de malware y violaciones de políticas.
4. Sistema de prevención de la intrusión con sede en los hogares: un paquete de software instalado que monitorea un solo host para actividad sospechosa analizando eventos que ocurren dentro de ese host.

Métodos de detección

La mayoría de los sistemas de prevención de intrusiones utilizan uno de los tres métodos de detección: basado en firmas, basado en anomalías estadísticas y análisis de protocolo con estado.

1. Detección basada en la firma: IDS basado en firma monitorea paquetes en la red y compara con patrones de ataque preconfigurados y predeterminados conocidos como firmas.
2. Detección basada en la anomalía estadística: An IDS which is anomaly-based will monitor network traffic and compare it against an established baseline. La base de referencia identificará lo que es "normal" para esa red – qué tipo de ancho de banda se utiliza generalmente y qué protocolos se utilizan. Sin embargo, puede elevar una falsa alarma positiva para el uso legítimo del ancho de banda si las bases de referencia no están configuradas inteligentemente. Modelos conjunto que utilizan el coeficiente de correlación de Matthews para identificar tráfico de red no autorizado han obtenido 99.73% de precisión.
3. Detección de análisis de protocolos estatales: Este método identifica desviaciones de estados de protocolo comparando eventos observados con " perfiles predeterminados de definiciones generalmente aceptadas de actividad benigna".

Ubicación

La ubicación correcta de los sistemas de detección de intrusos es fundamental y varía según la red. La ubicación más común es detrás del firewall, en el borde de una red. Esta práctica brinda al IDS una alta visibilidad del tráfico que ingresa a su red y no recibirá ningún tráfico entre los usuarios de la red. El borde de la red es el punto en el que una red se conecta a la extranet. Otra práctica que se puede lograr si hay más recursos disponibles es una estrategia en la que un técnico colocará su primer IDS en el punto de mayor visibilidad y, dependiendo de la disponibilidad de recursos, colocará otro en el siguiente punto más alto, continuando ese proceso hasta que todos los puntos del la red está cubierta.

Si un IDS se coloca más allá del firewall de una red, su objetivo principal sería protegerse contra el ruido de Internet pero, lo que es más importante, defenderse contra ataques comunes, como escaneos de puertos y mapeador de red. Un IDS en esta posición monitorearía las capas 4 a 7 del modelo OSI y estaría basado en firmas. Esta es una práctica muy útil, porque en lugar de mostrar las infracciones reales en la red que atravesaron el firewall, se mostrarán los intentos de infracciones, lo que reduce la cantidad de falsos positivos. El IDS en esta posición también ayuda a disminuir la cantidad de tiempo que lleva descubrir ataques exitosos contra una red.

A veces, un IDS con características más avanzadas se integrará con un firewall para poder interceptar ataques sofisticados que ingresen a la red. Los ejemplos de funciones avanzadas incluirían varios contextos de seguridad en el nivel de enrutamiento y el modo de conexión en puente. Todo esto, a su vez, reduce potencialmente los costos y la complejidad operativa.

Otra opción para la colocación de IDS es dentro de la red real. Estos revelarán ataques o actividad sospechosa dentro de la red. Ignorar la seguridad dentro de una red puede causar muchos problemas, permitirá a los usuarios generar riesgos de seguridad o permitirá que un atacante que ya ha ingresado a la red deambule libremente. La intensa seguridad de la intranet dificulta incluso a los piratas informáticos dentro de la red maniobrar y escalar sus privilegios.

Limitaciones

• El ruido puede limitar severamente la eficacia del sistema de detección de intrusiones. Los paquetes malos generados a partir de errores de software, datos DNS corruptos y paquetes locales que escaparon pueden crear una tasa de falsa alarma significativamente alta.
• No es raro que el número de ataques reales esté muy por debajo del número de falsas alarmas. El número de ataques reales suele estar por debajo del número de falsas alarmas que a menudo se pierden y se ignoran los ataques reales.
• Muchos ataques están dirigidos a versiones específicas de software que generalmente están anticuados. Se necesita una biblioteca constantemente cambiante de firmas para mitigar las amenazas. Las bases de datos de firmas obsoletas pueden dejar a los IDS vulnerables a estrategias más nuevas.
• Para el IDS basado en la firma, habrá retraso entre un nuevo descubrimiento de la amenaza y su firma que se aplica al IDS. Durante este tiempo de retraso, el IDS no podrá identificar la amenaza.
• No puede compensar los mecanismos débiles de identificación y autenticación ni las deficiencias de los protocolos de red. Cuando un atacante obtiene acceso debido a mecanismos débiles de autenticación, entonces IDS no puede evitar que el adversario de cualquier negligencia.
• La mayoría de los dispositivos de detección de intrusiones no procesan paquetes cifrados. Por lo tanto, el paquete cifrado puede permitir una intrusión a la red que no se descubre hasta que se hayan producido intrusiones de red más significativas.
• El software de detección de intrusiones proporciona información basada en la dirección de red asociada al paquete IP que se envía a la red. Esto es beneficioso si la dirección de red contenida en el paquete IP es precisa. Sin embargo, la dirección que está contenida en el paquete IP podría ser falsa o scrambled.
• Debido a la naturaleza de los sistemas NIDS, y a la necesidad de que analicen los protocolos tal como son capturados, los sistemas NIDS pueden ser susceptibles a los mismos ataques basados en protocolos a los que los hosts de red pueden ser vulnerables. Los datos inválidos y los ataques de pila TCP/IP pueden causar que un NIDS se estrelle.
• Las medidas de seguridad en la informática en la nube no consideran la variación de las necesidades de privacidad del usuario. Proporcionan el mismo mecanismo de seguridad para todos los usuarios sin importar si los usuarios son empresas o una persona individual.

Técnicas de evasión

Hay una serie de técnicas que utilizan los atacantes, las siguientes se consideran 'simples' medidas que se pueden tomar para evadir IDS:

• Fragmentación: mediante el envío de paquetes fragmentados, el atacante estará bajo el radar y puede evitar fácilmente la capacidad del sistema de detección para detectar la firma de ataque.
• Evitar defectos: El puerto TCP utilizado por un protocolo no siempre proporciona una indicación al protocolo que está siendo transportado. Por ejemplo, un IDS puede esperar detectar un troyán en el puerto 12345. Si un atacante lo hubiera reconfigurado para utilizar un puerto diferente, el IDS puede no ser capaz de detectar la presencia del troyán.
• Los ataques coordinados y de baja ancho de banda: la coordinación de un escaneo entre numerosos atacantes (o agentes) y la asignación de diferentes puertos o hosts a diferentes atacantes dificultan la correlación de los paquetes capturados y deducen que se está realizando un escaneo de red.
• Direccionamiento/proxying: los atacantes pueden aumentar la dificultad de la capacidad de los Administradores de Seguridad para determinar la fuente del ataque utilizando servidores proxy mal seguros o configurados incorrectamente para rebotar un ataque. Si la fuente es picada y rebotada por un servidor, hace muy difícil que IDS detecte el origen del ataque.
• Pattern change evasion: IDS generalmente confía en "pattern matching" para detectar un ataque. Al cambiar ligeramente los datos utilizados en el ataque, puede ser posible evadir la detección. Por ejemplo, un Protocolo de acceso a Internet (IMAP) servidor puede ser vulnerable a un flujo de amortiguación, y un IDS es capaz de detectar la firma de ataque de 10 herramientas de ataque comunes. Al modificar la carga de pago enviada por la herramienta, para que no se asemeje a los datos que el IDS espera, puede ser posible evadir la detección.

Desarrollo

El primer concepto preliminar de IDS fue delineado en 1980 por James Anderson en la Agencia de Seguridad Nacional y consistía en un conjunto de herramientas destinadas a ayudar a los administradores a revisar los registros de auditoría. Los registros de acceso de usuarios, los registros de acceso a archivos y los registros de eventos del sistema son ejemplos de registros de auditoría.

Fred Cohen señaló en 1987 que es imposible detectar una intrusión en todos los casos y que los recursos necesarios para detectar intrusiones crecen con la cantidad de uso.

Dorothy E. Denning, asistida por Peter G. Neumann, publicó un modelo de un IDS en 1986 que formó la base de muchos sistemas en la actualidad. Su modelo usó estadísticas para la detección de anomalías y dio como resultado un IDS temprano en SRI International llamado Sistema experto en detección de intrusos (IDES), que se ejecutaba en estaciones de trabajo Sun y podía considerar datos a nivel de usuario y de red. IDES tenía un enfoque dual con un sistema experto basado en reglas para detectar tipos conocidos de intrusiones más un componente de detección de anomalías estadísticas basado en perfiles de usuarios, sistemas host y sistemas objetivo. El autor de "IDES: un sistema inteligente para detectar intrusos" Teresa F. Lunt, propuso agregar una red neuronal artificial como tercer componente. Ella dijo que los tres componentes podrían informar a un resolutor. SRI siguió a IDES en 1993 con el Sistema experto de detección de intrusos de próxima generación (NIDES).

El sistema de alerta y detección de intrusos Multics (MIDAS), un sistema experto que utiliza P-BEST y Lisp, se desarrolló en 1988 a partir del trabajo de Denning y Neumann. Haystack también se desarrolló en ese año utilizando estadísticas para reducir los registros de auditoría.

En 1986, la Agencia de Seguridad Nacional inició un programa de transferencia de investigación IDS bajo Rebecca Bace. Bace publicó más tarde el texto seminal sobre el tema, Detección de intrusos, en 2000.

Sabiduría & Sense (W&S) fue un detector de anomalías basado en estadísticas desarrollado en 1989 en el Laboratorio Nacional de Los Álamos. W&S creó reglas basadas en análisis estadísticos y luego usó esas reglas para la detección de anomalías.

En 1990, la máquina inductiva basada en el tiempo (TIM) detectó anomalías mediante el aprendizaje inductivo de patrones de usuario secuenciales en Common Lisp en una computadora VAX 3500. Network Security Monitor (NSM) realizó el enmascaramiento de matrices de acceso para la detección de anomalías en una estación de trabajo Sun-3/50. El asistente del oficial de seguridad de la información (ISOA) era un prototipo de 1990 que consideraba una variedad de estrategias que incluían estadísticas, un verificador de perfiles y un sistema experto. ComputerWatch en AT&T Bell Labs usó estadísticas y reglas para la reducción de datos de auditoría y la detección de intrusiones.

Luego, en 1991, investigadores de la Universidad de California, Davis, crearon un prototipo de Sistema de detección de intrusos distribuidos (DIDS), que también era un sistema experto. El Network Anomaly Detection and Intrusion Reporter (NADIR), también en 1991, fue un prototipo de IDS desarrollado en la Red de Computación Integrada (ICN) del Laboratorio Nacional de Los Álamos, y estuvo fuertemente influenciado por el trabajo de Denning y Lunt. NADIR utilizó un detector de anomalías basado en estadísticas y un sistema experto.

El Laboratorio Nacional Lawrence Berkeley anunció Bro en 1998, que usaba su propio lenguaje de reglas para el análisis de paquetes a partir de datos libpcap. Network Flight Recorder (NFR) en 1999 también usó libpcap.

APE se desarrolló como un rastreador de paquetes, también utilizando libpcap, en noviembre de 1998, y pasó a llamarse Snort un mes después. Desde entonces, Snort se ha convertido en el sistema IDS/IPS usado más grande del mundo con más de 300 000 usuarios activos. Puede monitorear tanto sistemas locales como puntos de captura remotos utilizando el protocolo TZSP.

El IDS de Audit Data Analysis and Mining (ADAM) en 2001 usó tcpdump para crear perfiles de reglas para clasificaciones. En 2003, Yongguang Zhang y Wenke Lee defienden la importancia de los IDS en redes con nodos móviles.

En 2015, Viegas y sus colegas propusieron un motor de detección de intrusos basado en anomalías, apuntando a System-on-Chip (SoC) para aplicaciones en Internet de las cosas (IoT), por ejemplo. La propuesta aplica el aprendizaje automático para la detección de anomalías, proporcionando eficiencia energética a la implementación de clasificadores Decision Tree, Naive-Bayes y k-Nearest Neighbors en una CPU Atom y su implementación amigable con el hardware en un FPGA. En la literatura, este fue el primer trabajo que implementa cada clasificador de manera equivalente en software y hardware y mide su consumo de energía en ambos. Adicionalmente, fue la primera vez que se midió el consumo de energía para la extracción de cada una de las funcionalidades utilizadas para realizar la clasificación de paquetes de red, implementada en software y hardware.