Lección 1: Sistemas de detección de intrusiones
Detección de intrusiones
Es importante comenzar destacando que el concepto de detección ya se introdujo al comienzo del curso como parte de la seguridad como un proceso. Efectivamente, asumiendo que las medidas preventivas nunca van a ser efectivas al 100%, se plantea la necesidad de detectar los intentos de intrusión y reaccionar adecuadamente frente a ellos, para lo cual es necesario monitorizar el comportamiento del sistema y analizar la necesidad de cambios.
El primer objetivo de esta fase es ser capaz de detectar las actividades no deseadas a tiempo. Estas actividades no necesariamente tienen que estar relacionadas con ataques al sistema, ya que también pueden deberse a errores de software, a errores de configuración, o a situaciones accidentales, como un aumento de la temperatura por una refrigeración insuficiente. En este caso, la detección temprana debe permitir corregir los errores de funcionamiento y configuración antes de que causen más daño. Pero, lógicamente, las actividades no deseadas más peligrosas se corresponden con intentos de atacar el sistema. En este caso, idealmente, una detección temprana permite detectar las primeras fases de un ataque, cuando el intruso está reconociendo el sistema, incluso antes de haya sido capaz de lograr ejecutar código en la ninguna de las máquinas, permitiendo evitar que el ataque tenga éxito.
No obstante, los atacantes tratarán de preparar al máximo el ataque para que haya poco tiempo entre detección y reacción. Por lo tanto, es necesario aplicar la seguridad en profundidad, con varias barreras de contención que permitan tratar el incidente en sus fases iniciales, antes de que sea demasiado tarde. Estas medidas preventivas, como crear usuarios con privilegios limitados, el uso de seguridad perimétrica o la segmentación de la red corporativa dificultan la ejecución del ataque y facilitan su detección, proporcionando tiempo adicional para tratar el incidente y permitiendo reaccionar a tiempo.
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Publicar un comentario