Sean bienvenidos una vez más a nuestra columna Código Seguro de cada miércoles, donde nos adentramos en el mundo apasionante de la ciberseguridad y compartimos nuestras experiencias. El rápido crecimiento de las tecnologías no sólo facilita la vida, sino que también expone muchos problemas de seguridad. Con el avance de Internet a lo largo de los años, ha aumentado también el número de ataques a través de la gran red de redes.
Por eso estimados lectores, en el día de hoy les hablaré acerca de los IDS. Los sistemas de detección de intrusiones (IDS) son una de las capas de apoyo aplicables a la seguridad de la información. Estos proporcionan un entorno saludable para las empresas y las mantienen alejadas de actividades sospechosas en la red.
Son además una herramienta esencial de seguridad de red que supervisa el tráfico y los dispositivos en busca de actividades maliciosas o sospechosas. Un IDS puede acelerar la detección de amenazas alertando a los administradores sobre posibles peligros o enviando alertas a un sistema centralizado como un Sistema de Información y Gestión de Eventos de Seguridad (SIEM). Aunque por sí solo no puede detener las amenazas, es crucial para los esfuerzos de cumplimiento normativo y suele integrarse con sistemas de prevención de intrusiones (IPS) para una protección más robusta.
Los IDS utilizan métodos de detección basados en firmas o en anomalías, siendo este último capaz de detectar ataques completamente nuevos mediante técnicas de aprendizaje automático. La detección basada en firmas compara el tráfico de la red con una base de datos de firmas de ataques conocidos, mientras que la detección basada en anomalías utiliza algoritmos de aprendizaje automático para identificar comportamientos atípicos que podrían indicar una intrusión.
La detección de intrusiones basada en anomalías también se conoce como detección basada en el comportamiento, ya que este método modela el comportamiento de los usuarios, la red y los sistemas host y, por lo tanto, genera una alarma o alerta al administrador cuando el comportamiento se desvía del habitual. Los basados en firmas también se conocen como detección basada en el conocimiento. Este método se basa en una base de datos que contiene firmas de ataques conocidos y vulnerabilidades conocidas del sistema. Por otra parte, también es posible encontrar sistemas híbridos a partir de la combinación de ambos métodos explicados anteriormente, aunque es válido aclarar que la mayoría se decantan por utilizar un solo método, es decir, se especializan solo en anomalías o simplemente en firmas.
A partir de 1980, con el artículo de James P. Anderson, Computer Security Threat Monitoring and Surveillance, surgieron las primeras ideas que sirvieron de base para la definición del concepto de detección de intrusiones. Desde entonces, varios acontecimientos en esta tecnología han evolucionado hasta su estado actual. Ya para el año 1983, la empresa estadounidense SRI International y la profesora e investigadora Dorothy E. Denning empezaron a trabajar en un proyecto gubernamental que lanzó un nuevo esfuerzo en el desarrollo de estos nuevos sistemas. Su objetivo era analizar los registros de auditoría de los ordenadores centrales del gobierno y crear perfiles de usuarios basados en sus actividades.
Fuente: Tomado de Diario Digital Cubadebate.
Últimos Comentarios