El IDS ¿qué es?, ¿para qué sirve?, ¿cómo funciona?

El 12 de mayo de 2017 se produjo a escala mundial un ciberataque que hizo saltar las alarmas de muchas compañías e instituciones que hasta entonces se sentían seguras. El 27 de junio, otro ciberataque puso de manifiesto que no se trataba de una situación puntual. Los antivirus tradicionales ya no proporcionan una seguridad efectiva, por lo que es preciso tomar medidas adicionales para evitar ser afectados estos nuevos ataques, llamados “ransomware”. El IDS se presenta como la solución más segura en este momento.

IDS se corresponde a las siglas en inglés de Sistema de Detección de Intrusos. Es decir, un programa de identificación de accesos no autorizados a un ordenador o una red. Concretamente, se trata de herramientas que basan su funcionamiento en el análisis detallado del tráfico de red, de forma que todos los movimientos  son analizados y comparados, desde el punto de vista del contenido y de su comportamiento, con conductas sospechosas ya conocidas. En definitiva, se trata de un sistema que bien configurado es capaz de aprender y prevenir posteriores ataques.

¿Qué ventajas nos aporta un IDS?

1. Monitoriza, registra y clasifica todo proceso que se ejecuta en el Pc.

2. Todo lo que no es conocido, inicialmente no se ejecuta. Primero se analiza y, si es “bueno”, se clasifica y se deja ejecutar.

3. Detecta ataques a la red, impidiendo la infección horizontal y ayudando a identificar de dónde provienen los ataques.

4. Es capaz de proteger equipos de sobremesa, portátiles y servidores independientemente de su ubicación (dentro o fuera del perímetro) con los siguientes sistemas operativos:

• Desde Microsoft Windows XP SP2 hasta Microsoft Windows 10.
• Desde Microsoft Windows Server 2003 en adelante.

5. Se encuentra 100% en la nube, por lo que no es necesaria instalación adicional.

6. No permite la instalación de barras de navegación, ni de programas no autorizados.

7. Genera información a partir de la colaboración entre todos los usuarios del IDS, suministrando información interesante sobre el tráfico malicioso de la red, independientemente del lugar del mundo en el que se esté produciendo.

8. Recoge evidencias que pueden ser usadas para identificar intrusos. Puede incluso contribuir (parcialmente) al descubrimiento automático de nuevos ataques.

9. Dificulta el trabajo del intruso de eliminar sus huellas.

¿Por qué es necesario en este momento?

El año pasado, en las Entidades Locales de ANIMSA,  se produjeron varios incidentes asociados al virus CryptoLocker (“ransomware”).  En estos casos, la apertura de un archivo adjunto en un correo desencadenaba un “secuestro” virtual de la información del ordenador.

Las medidas tomadas, aunque no muy populares, consiguieron frenar este tipo de infecciones. Sin embargo, los atacantes han mejorado su técnica. En estos momentos, la infección se realiza de manera automática y ya no es necesario abrir el archivo de un correo electrónico o que el usuario realice ninguna operación. Este nuevo método de actuar ha provocado que las infecciones se hayan desplegado por internet a gran velocidad, por lo que es necesario contrarrestar con nuevos medios que impidan el acceso a nuestros equipos. La capacidad colaborativa y preventiva del IDS nos ayuda a defendernos de estos nuevos ataques.

Sin embargo, la utilización de un IDS no significa que debamos olvidarnos de los métodos más tradicionales, como antivirus y cortafuegos. Muy al contrario, normalmente esta herramienta se integra con el cortafuegos. Salvo algunas excepciones, el IDS es incapaz de detener los ataques por sí solo, por lo que lo ideal es combinar la inteligencia del IDS y el poder de bloqueo del firewall.