motivación
Relacionadas con la seguridad, aparecen muchas siglas que en ocasiones no se emplean correctamente o no se explican con un mínimo detalle. En esta entrada intento resumir los tres principales herramientas sin llegar a proporcionar ejemplos comerciales.
desarrollo
IDS (Sistema de Detección de Intrusos.“Intrusion Detections System”)
Herramienta que detecta intrusos en los sistemas. Hasta aquí nada diferente de lo que anuncia el título. Es importante denotar que un IDS puede conectarse a un gran número de fuentes de log para encontrar ataques.
Tal y como indica también el título, los IDS no pueden detener los ataques por si solos, sino que necesitan herramientas adicionales que ayuden en esta tarea.
Existen dos tipos de IDS, por un lado tenemos los HIDS (Host Intrusion Detections System) que cuya acción se enmarca en una única máquina y los NIDS (Network Intrusion Detections System), que se enfocan en la detección gracias a la monitorización del tráfico de la red.
IPS (Sistema de Prevención de Intrusos. “Intrusion Prevention System”)
En este caso se pone el foco en la prevención de los ataques. Se puede entender que los IPS se consideran como una extensión de los IDS.
Considerando la localización donde actúan tenemos 4 tipos:
Host-based IPS (HIPS): La prevención de la intrusión reside en una simple máquina y previene el ataque en este propio host.
Network-based IPS (NIPS): Se mantiene la red monitorizada en busca de tráfico sospechoso.
Wireless Network-based IPS (WIPS): Como el anterior pero teniendo en cuenta el medio inalámbrico.
Network Behaviour Analysis-based IPS (NBA). Basados en el comportamiento de la red, examinan el tráfico en el medio buscando patrones de comportamiento de malware, ataques de denegación de servicios.
SIEM (Sistema de gestión de eventos e información de seguridad. “Security Information and Event Management”)
Actúan como centralización de los registros de seguridad. Un SIEM permite recopilar, normalizar y correlacionar eventos de seguridad, proporciona inteligencia de seguridad, descarta falsos positivos, evalúa el impacto de un ataque, unifica la gestión de la seguridad, centraliza la información e integra herramientas de detección de amenazas.
SIEM, se corresponde realmente a la unión de SEM y SIM. La primera es la barrera inicial en la gestión de la seguridad, funcionando en tiempo real. Monitoriza, correlaciona eventos y notifica. La segunda, actúa sobre la información almacenada.