|
Introducción
El aumento y la gravedad de los ataques hoy en día
hacen que los sistemas de detección de intrusos sean una
parte indispensable de la seguridad.
Las empresas tienen buenas razones comerciales y
legales para establecer sólidas políticas de seguridad.
Después de todo, su existencia depende de dichas políticas.
Sin embargo, la empresa que no controle el abuso de estas políticas
perderá un importante componente de seguridad. Si no implementan
ningún control, los ejecutivos nunca sabrán si se
cumplen sus políticas de seguridad. Por esta razón,
es esencial instalar un Sistema de Detección de Intrusos
(IDS).
Este artículo discute las razones para invertir
en un Sistema de detección de intrusos (IDS) y los aspectos
clave que deben tener en cuenta las empresas cuando evalúen
un sistema.
¿Para qué
invertir en un sistema de detección de intrusos?
El aumento y la gravedad de los ataques hoy en día hace que
los sistemas de detección de intrusos sean una parte indispensable
de la seguridad. En efecto, cualquier empresa que no esté
buscando ser objeto de un intento de los intrusos, no tiene idea
acerca de cuáles son las amenazas que están allí.
Una vez implementado, el sistema IDS reportará las amenazas
que pueden respaldar las sospechas de que la red de la compañía
está siendo atacada. Además, entender la frecuencia
y los tipos de ataques le permite a la organización determinar
los controles de seguridad que se deben adoptar.
El sistema IDS también simplifica la tarea
de verificar y categorizar las amenazas en los informes que se presentan
a la administración ejecutiva. Esta información sólida
ayuda a la dirección a aceptar la administración de
la seguridad adicional.
Aspectos importantes que
hay que tener en cuenta
Las empresas algunas veces invierten en un sistema de detección
de intrusos IDS que es difícil de soportar, que reporta demasiados
falsos positivos (ataques aparentes generados por actividades legítimas)
y que no puede responder a la velocidad de la red. Para reducir
las posibilidades de que suceda esto, las empresas deben tener en
cuenta los siguientes criterios cuando evalúen un sistema
de detección de intrusos IDS.
Respuesta: Un Sistema de detección de intrusos IDS debe ir
más allá de la simple notificación proporcionando
respuestas automatizadas basadas en políticas para proteger
los sistemas y ofreciendo tiempo y tranquilidad al personal de seguridad.
Cuando es necesario localizar el origen de un ataque (frecuentemente
se ataca con una dirección falsificada), el enfoque tradicional
ha sido interrogar manualmente a los routers y encontrar el flujo
relevante de los datos. Este es un ejercicio agotador que puede
llevar muchas horas o días, incluso para un ingeniero de
redes experimentado. Una empresa debe a cambio escoger un IDS que
pueda rastrear los ataques rápida y automáticamente,
incluso aquellos que son falsificados o que se reflejan, de regreso
al punto de ingreso de la red. Esto permitirá a la empresa
reaccionar rápida y eficientemente para bloquear los ataques
de negación de servicio que pueden afectar la disponibilidad
del ancho de banda y del servicio.
Instalación: Un sistema IDS debería poder manejar
los escenarios de instalación más grandes y exigentes,
incluso el monitoreo de los múltiples segmentos de la red.
También debería ser capaz de proteger las infraestructuras
de la información empresarial mediante la detección
de múltiples gigabits de alta velocidad.
Análisis: Un sistema IDS debería
tener un motor de análisis y correlación que analizase
los numerosos eventos que suceden en la red y los evaluase en contexto.
El tiempo y el conocimiento son críticos para lanzar una
respuesta rápida y efectiva a los ataques contra los activos
empresariales de misión crítica en el momento en que
se produzcan. La acumulación de eventos en tiempo real, la
correlación y el análisis pueden reducir dramáticamente
el esfuerzo que tradicionalmente se exige del personal de seguridad
para darle tiempo a que realice un trabajo investigativo sobre los
sofisticados intrusos y las políticas en lugar de pasar horas
examinando los registros de eventos no correlacionados.
Facilidad de administración: Un sistema IDS debe recoger
los datos importantes de detección directamente de los conmutadores
de redes, lo que reduce la cantidad de sensores que se necesita
instalar y administrar en toda la red a fin de reducir el Costo
Total de Propiedad (TCO).
Costo de expansión: Muchas empresas no se
dan cuenta de que la ampliación de los sistemas IDS diseñados
específicamente para redes conmutadas de alta velocidad cuestan
menos que la de los sistemas tradicionales. Una instalación
tradicional requiere de un sensor para cada segmento de la red,
además del costo del hardware, software y de la administración
del sistema. Cuando una compañía necesita expandirse
para tener cobertura de red total, los costos asociados al financiamiento
de los sensores, hardware, software y administración del
sistema serán comparables a los costos de aquellos componentes
de la instalación inicial. Por el contrario, un sistema IDS
diseñado para funcionar en redes conmutadas de alta velocidad
permite una cobertura máxima sin el costo agregado de la
administración del sistema. Un sistema IDS con la herramienta
de localización puede compararse a un grupo de cámaras
de seguridad almacenadas convenientemente. Sin embargo, a diferencia
de las cámaras de seguridad, el sistema IDS debe tener la
inteligencia para saber que ha ocurrido un incidente, para continuar
recogiendo datos y alertar al administrador del sistema. Con este
tipo de sistema IDS, los ahorros empresariales sólo en concepto
de soporte, instalación y mantenimiento pueden ser significativos.
Conclusiones
Las empresas que no han invertido aún en un software de detección
de intrusos, deben hacerlo. Aplazar esta inversión supone
para la empresa un riesgo no únicamente de modificación,
destrucción y robo de la información, sino de ser
objeto de demandas legales. El sistema IDS que la empresa adopte
en ultima instancia, debe proporcionar un método muy bien
coordinado para administrar los asuntos de seguridad, desde la identificación
de robos en la red y recogida de información adicional solicitada,
hasta responder rápidamente y tomar las medidas adecuadas.
Enlaces Relacionados:
Productos que ofrecemos en el área de IDS
Symantec Network Security 4.0 Network IDS, Protección avanzada y de alta velocidad
contra intrusos en la red. Velocidades hasta de 2 gigabits por
segundo. Identifica ataques día cero, conocidos y desconocidos,
protege contra ataques de negación del servicios (DoS).
Se puede instalar sobre Red Hat Linux o Sun Solaris
descargar folleto de SNS 4.0 aquí.
Página actualizada en
Enero 3, 2007
|
