Ids Y Ips
Páginas: 25 (6022 palabras)
Publicado: 1 de febrero de 2013
Algunos argumentos empleados por Gartner Group en esta predicción tienen sentido, pero las conclusiones han sido fuertemente criticadas por varios especialistas en todo el mundo.
Vayamos por partes, ¿qué es un “Sistema de Prevención de Intrusos” o IPS? Tal como muchos otros conceptos en seguridad informática, el significado depende del contexto y de la persona que lo emplea. Muchosespecialistas afirman (y con toda razón) que el término en sí, es demasiado ambiguo, y que estaría contemplando a muchos controles de seguridad informática. En este sentido, un firewall podría ser perfectamente un IPS (indirectamente previene intrusiones).
Sin embargo, el término IPS en el contexto que es empleado por Gartner Group, parece hacer referencia a una combinación de filtro (firewall) con unsistema de detección de intrusos (IDS por sus siglas en inglés). El principal argumento de mercadotecnia para este tipo de sistemas es su supuesta “proactividad”. Otras supuestas ventajas incluyen:
* Capacidad de reacción automática ante incidentes - el sistema aplica nuevos filtros conforme detecta ataques en progreso)
* Mínima vigilancia - el sistema no requiere tanta dedicación como unIDS tradicional; esto en consecuencia requeriría menos inversión en recursos para administrar y operar estos sistemas (en comparación con un IDS).
* Menos falsas alarmas
Gartner Group ha analizado desde el punto de vista del mercado la situación y ha concluido que los sistemas de detección de intrusos no hacen mucho por la seguridad y han sido un fracaso; por esto recomienda que se utilicenotros sistemas con enfoque más preventivo: firewalls con capacidades de detección de eventos de seguridad (IPS).
Es cierto que la mayoría de las instalaciones de sistemas de detección de intrusos no ha brindado los resultados esperados, pero Gartner Group está pasando por alto un dato muy importante. Los sistemas de detección de intrusos no son sistemas autónomos, son herramientas de notificaciónpara personal de seguridad (generalmente un grupo de respuesta a incidentes).
La mayor parte de los problemas en una instalación de sistemas de detección de intrusos se debe a una incorrecta configuración de los mismos o a la asignación de personal inadecuado para respuesta a incidentes, entre este tipo de problemas destacan los siguientes:
* Poca o nula depuración de las alertas que sevigilan (muchas organizaciones cometen el error de activar todas las alertas del producto de IDS porque creen que les va a dar mayor seguridad; lo único que esto genera es una gran cantidad de trabajo de revisión de alertas, que es totalmente innecesario).
* Falta de capacitación del personal (el personal no es capaz de comprender el significado y el impacto de cada alerta reportada, enconsecuencia, no se toman las medidas apropiadas).
* Asignación incorrecta (colocación de IDS en puntos inadecuados, protección de sistemas que no lo requieren, etc.)
Debemos aceptar que los sistemas de detección de intrusos no son para todas las organizaciones, así como no todas las organizaciones pueden beneficiarse de una PKI. Si una organización no puede o no requiere de personal especialista pararespuesta de incidentes, el contar con sistemas de detección de intrusos (tal como afirma Gartner Group) no les brindará mayor seguridad.
Pero en aquellas organizaciones donde la seguridad es altamente crítico el contar con personal de respuesta de incidentes es prácticamente una obligación (en estos ambientes un sistema de detección de intrusos instalado y configurado apropiadamente suele sermuy valioso); algunas organizaciones donde este tipo de sistemas suelen ser más efectivos son:
* Instituciones gubernamentales (principalmente aquellas relacionadas con seguridad pública)
* Instituciones financieras
* Empresas que manejan gran cantidad de información confidencial
Analicemos ahora la propuesta de Gartner: definitivamente un firewall tradicional no va a solucionar...
Vayamos por partes, ¿qué es un “Sistema de Prevención de Intrusos” o IPS? Tal como muchos otros conceptos en seguridad informática, el significado depende del contexto y de la persona que lo emplea. Muchosespecialistas afirman (y con toda razón) que el término en sí, es demasiado ambiguo, y que estaría contemplando a muchos controles de seguridad informática. En este sentido, un firewall podría ser perfectamente un IPS (indirectamente previene intrusiones).
Sin embargo, el término IPS en el contexto que es empleado por Gartner Group, parece hacer referencia a una combinación de filtro (firewall) con unsistema de detección de intrusos (IDS por sus siglas en inglés). El principal argumento de mercadotecnia para este tipo de sistemas es su supuesta “proactividad”. Otras supuestas ventajas incluyen:
* Capacidad de reacción automática ante incidentes - el sistema aplica nuevos filtros conforme detecta ataques en progreso)
* Mínima vigilancia - el sistema no requiere tanta dedicación como unIDS tradicional; esto en consecuencia requeriría menos inversión en recursos para administrar y operar estos sistemas (en comparación con un IDS).
* Menos falsas alarmas
Gartner Group ha analizado desde el punto de vista del mercado la situación y ha concluido que los sistemas de detección de intrusos no hacen mucho por la seguridad y han sido un fracaso; por esto recomienda que se utilicenotros sistemas con enfoque más preventivo: firewalls con capacidades de detección de eventos de seguridad (IPS).
Es cierto que la mayoría de las instalaciones de sistemas de detección de intrusos no ha brindado los resultados esperados, pero Gartner Group está pasando por alto un dato muy importante. Los sistemas de detección de intrusos no son sistemas autónomos, son herramientas de notificaciónpara personal de seguridad (generalmente un grupo de respuesta a incidentes).
La mayor parte de los problemas en una instalación de sistemas de detección de intrusos se debe a una incorrecta configuración de los mismos o a la asignación de personal inadecuado para respuesta a incidentes, entre este tipo de problemas destacan los siguientes:
* Poca o nula depuración de las alertas que sevigilan (muchas organizaciones cometen el error de activar todas las alertas del producto de IDS porque creen que les va a dar mayor seguridad; lo único que esto genera es una gran cantidad de trabajo de revisión de alertas, que es totalmente innecesario).
* Falta de capacitación del personal (el personal no es capaz de comprender el significado y el impacto de cada alerta reportada, enconsecuencia, no se toman las medidas apropiadas).
* Asignación incorrecta (colocación de IDS en puntos inadecuados, protección de sistemas que no lo requieren, etc.)
Debemos aceptar que los sistemas de detección de intrusos no son para todas las organizaciones, así como no todas las organizaciones pueden beneficiarse de una PKI. Si una organización no puede o no requiere de personal especialista pararespuesta de incidentes, el contar con sistemas de detección de intrusos (tal como afirma Gartner Group) no les brindará mayor seguridad.
Pero en aquellas organizaciones donde la seguridad es altamente crítico el contar con personal de respuesta de incidentes es prácticamente una obligación (en estos ambientes un sistema de detección de intrusos instalado y configurado apropiadamente suele sermuy valioso); algunas organizaciones donde este tipo de sistemas suelen ser más efectivos son:
* Instituciones gubernamentales (principalmente aquellas relacionadas con seguridad pública)
* Instituciones financieras
* Empresas que manejan gran cantidad de información confidencial
Analicemos ahora la propuesta de Gartner: definitivamente un firewall tradicional no va a solucionar...
Leer documento completo
Regístrate para leer el documento completo.