*Por Israel Oseguera, Gerente de Innovación de Praxis

EL ARTE DE DETECTAR INTRUSOS 

La información que generamos es extremadamente valiosa para el negocio por lo que el reto principal al implementar una estrategia de seguridad informática en la empresa es mantener esta información a salvo, segura y disponible para su apropiado uso.

La tecnología de detección de intrusos es utilizada por compañías y gobiernos en todo el mundo para agregar una capa dinámica de protección sobre datos que son vulnerables a ataques informáticos.

Los sistemas de detección de intrusos también conocidos como IDS han ido evolucionando desde simples programas vigías hasta complejos sistemas autónomos que pueden configurarse para monitorear distintos tipos de dispositivos en la red desde una computadora personal o servidor de base de datos hasta propios componentes de seguridad como un firewall u otros sistemas IDS.

Este tipo de tecnología trabaja básicamente de la siguiente manera:

Cuando el sistema IDS detecta algún comportamiento fuera de lo común o sospechoso en la red que vigila este genera alertas que  son enviadas al equipo de seguridad, ya sea por correo electrónico, SMS o notificación instantánea para tomar las medidas necesarias.

Estos sistemas son muy útiles, ya que también tienen la capacidad de poder restaurar de forma automática archivos  dañados o alterados por copias de respaldo previamente establecidas frustrando así el ataque.

Los productos IDS están divididos en dos categorías principales:

1.-  Network Based

2.-  Host Based

Las herramientas del  tipo Network Based vigilan todos los paquetes que pasan por la red y los comparan con patrones conocidos de ataques y directivas establecidas por el administrador del sistema; por ejemplo: si solamente se permiten paquetes de tipo HTTP  en la red no debe de existir otros tipos de información viajando como FTP o SMTP. Cuando el IDS encuentra algún paquete fuera del parámetro establecido entonces genera la alarma  correspondiente y toma las acciones necesarias.

Los IDS también pueden ser configurados para  detectar   la actividad  de los componentes unitarios de la computadora como el CPU, la memoria o el disco duro. Este tipo de software puede detectar un problema en el  perímetro de la red en cuestión de segundos y es menos vulnerable a fallas.

Los  productos  del tipo Host Based trabajan con una agente de software corriendo en cada componente a proteger, este agente manda  de forma periódica una  señal a la consola de seguridad con información del status de la componente  en donde reside, similar a un pulso de vida.

La velocidad con que se pueden detectar intrusiones depende de la frecuencia la auditoria de los registros y cambios del componente vigilado.

Las ventaja que nos da el usar este tipo de herramientas es mantener el control sabiendo al momento el estado de archivos  importantes,  aplicaciones,  bases de datos, directorios u otra información sensitiva  para  la empresa.

Con la accesibilidad actual de implementar sistemas IDS en distintas plataformas en un futuro muy cercano, cualquier actividad que realicemos con los recursos de la empresa podrá ser vigilado y así minimizar los riesgos de ser vulnerados.