- Un sistema de detección de intrusiones (IDS) es una solución tecnológica que monitorea el tráfico entrante y saliente en su red en busca de actividades sospechosas e infracciones de políticas.
- El IDS es la primera línea de defensa de los sistemas de red, que puede detectar de manera proactiva comportamientos anormales y reducir el tiempo promedio de detección.
El IDS es una parte importante de la arquitectura de seguridad de red de una organización, ya que identifica y alerta al SOC sobre amenazas que podría haber pasado por alto, algo que los firewalls tradicionales no hacen. Aunque todos los sistemas de detección de intrusiones cumplen el mismo propósito, funcionan de maneras ligeramente diferentes. En total, existen cinco tipos de IDS.
¿Qué es un sistema de detección de intrusiones?
Unsistema de detección de intrusiones(IDS) es una solución tecnológica que monitorea el tráfico entrante y saliente en su red en busca de actividades sospechosas e infracciones de políticas. Como su nombre lo indica, el propósito principal de un IDS es detectar y prevenir intrusiones dentro de su infraestructura de TI y luego alertar a las personas relevantes. Estas soluciones pueden ser dispositivos de hardware o aplicaciones de software.
Por lo general, un IDS formará parte de un sistema más amplio degestión de eventos e información de seguridad(SIEM). Cuando se implementa como parte de un sistema integral, su IDS es su primera línea de defensa. Funciona para detectar proactivamente comportamientos inusuales y reducir su tiempo medio de detección. En última instancia, cuanto antes reconozca una intrusión intentada o exitosa, antes podrá tomar medidas y proteger su red.
Lea también:¿Qué es un sistema de prevención de intrusiones de host y cómo funciona?
Lea también:Prevención de intrusiones de host: la forma clave de proteger hosts individuales
Diferentes tipos de sistemas de detección de intrusiones
1. Sistema de detección de intrusiones de red
Un sistema de detección de intrusiones de red (NIDS) es una solución que monitorea toda la red a través de uno o más puntos de contacto. Para usar NIDS, normalmente necesita instalarlo en una pieza de hardware en la infraestructura de su red. Después de la instalación, su NIDS muestreará cada paquete (colección de datos) que pase a través de él.
Un NIDS típico puede verificar todo el tráfico que pasa a través de él. Puede analizar todo el tráfico entrante y saliente y detectar eventos en tiempo real, lo que permite respuestas rápidas. Son más desafiantes para los intrusos y pueden implementarse estratégicamente en áreas clave.
2. Sistema de detección de intrusiones de nodo de red
Los sistemas de detección de intrusiones de nodo de red (NNIDS) son técnicamente una variante de NIDS, pero debido a que funcionan de manera diferente, los tratamos como un tipo diferente de ID.
El NNIDS también analiza los paquetes que pasan a través de él. Sin embargo, en lugar de depender de un dispositivo central para monitorear todo el tráfico de la red, el sistema monitorea cada nodo conectado a la red. Dado que cada agente NNIDS analiza menos tráfico, el sistema puede funcionar más rápido. Pero NNIDS requiere múltiples dispositivos para cada servidor que desee monitorear.
3. Sistema de detección de intrusiones de host
El sistema de detección de intrusiones de host (HIDS) mejora aún más la independencia del dispositivo de NNIDS. Con HIDS, puede instalar software de IDS en cada dispositivo conectado a la red.
El HIDS funciona tomando una “instantánea” del dispositivo que especifica. Al comparar las instantáneas recientes con los registros anteriores, el HIDS puede identificar diferencias que podrían indicar una intrusión. Se pueden instalar en una computadora o servidor para localizar el dispositivo afectado. Sin embargo, las soluciones HIDS pueden estar sujetas a monitoreo “a posteriori”.
4. Sistema de detección de intrusiones basado en protocolos
Un sistema de detección de intrusiones basado en protocolos (PIDS) es un sistema de detección de intrusiones específico que se utiliza para monitorear los protocolos en uso. En la práctica, el sistema generalmente analiza el flujo del protocolo HTTP o HTTPS entre el dispositivo y el servidor.
5. Sistema de detección de intrusiones basado en protocolos de aplicación
El sistema de detección de intrusiones basado en protocolos de aplicación (APIDS) es un tipo de sistema de detección de intrusiones para la seguridad de aplicaciones de software. Los APIDS generalmente se asocian con los sistemas de detección de intrusiones basados en host (HIDS) que monitorean la comunicación que ocurre entre las aplicaciones y los servidores. Los APIDS generalmente se instalan en grupos de servidores.

