MADRID, ? (Portaltic/EP)
Los sistemas IDS, IPS y SIEM monitorizan el tráfico que entra o sale de una red y son de vital importancia para la seguridad de la red de las empresas, pero cada uno de ellos cuenta con sus propias características, así como ventajas e inconvenientes.
Desde el Instituto Nacional de Ciberseguridad (Incibe) señalan la importancia que los sistemas IDS, IPS y SIEM tienen para la seguridad de la red de tu empresa, y aconsejan que al menos cuenten con uno de ellos, ya que les permiten enfrentarse de forma pasiva o activa a las amenazas que puedan afectar al buen funcionamiento de los sistemas.
Se trata, sin embargo, de tres sistemas con características particulare. Como explican desde Incibe, el sistema Intrusion Detection System (IDS), también conocido como sistema de detección de instrucciones, se utiliza para detectar accesos no autorizados a un ordenador o a una red.
Ante cualquier actividad sospechosa, el sistema emite una alerta a los administradores, pero no trata de mitigar la intrusión. Entre sus ventajas destaca que permite ver lo que sucede en la red en tiempo real, reconoce modificaciones en los documentos y automatiza los patrones de búsqueda en los paquetes de datos enviados a través de la red.
Sin embargo, esta herramienta no está diseñada para prevenir o detener los ataques que detecta y además es vulnerable a los ataques de denegación de servicio (DDoS, según sus siglas en inglés), que puede provocar la inoperatividad del sistema.
Por su parte, el sistema de prevención de intrusiones o Intrusion Prevention System (IPS) es un 'software' que protege a los sistemas de ataques e intrusiones. En este sentido, su actuación es preventiva, como apuntan desde Incibe.
Los sistemas IPS llevan a cabo un análisis de las conexiones y los protocolos en tiempo real para determinar si se va a producir o si se está produciendo algún incidente.
Asimismo, identifican ataques según patrones, anomalías o comportamientos sospechosos y permiten el control de acceso a la red, implementando políticas que se basan en el contenido del tráfico monitorizado.
En este sentido, los sistemas de prevención de intrusiones emiten alarmas y, además, pueden descartar paquetes y desconectar conexiones. Una de sus ventajas es su fácil instalación, configuración y administración, ya que está disponible en varias configuraciones predefinidas.
Además, ofrece una protección preventiva al comprobar de forma automática comportamientos anómalos con el uso de reglas prefijadas, así como una defensa frente a múltiples ataques, aumento de la eficiencia y la seguridad de la prevención de intrusiones o ataques a la red y una escalabilidad al gestionar multitud de dispositivos conectados a la misma red.
En cuanto a los inconvenientes de los sistemas IPS, se pueden destacar los efectos adversos que pueden llegar a producirse en caso de detectar un falso positivo o en caso de recibir ataques DDoS o DoS, que podrían provocar su inutilización.
Por último, el Security Information and Event Management (SIEM) o sistema de gestión de eventos e información de seguridad, engloba la gestión de información de seguridad y la gestión de eventos.
Este sistema ofrece un análisis de alertas de seguridad generadas por los dispositivos 'hardware' y 'software' de la red en tiempo real. El SIEM recoge los registros de actividad de los distintos sistemas, los relaciona y detecta eventos de seguridad, como actividades sospechosas o inesperadas que pueden ser el inicio de un incidente, descartando falsos positivos y generando respuestas según los informes y evaluaciones que registra.
Una de las ventajas de contar con un sistema SIEM es la centralización de la información y eventos, que permite automatizar tareas, el seguimiento de los eventos para detectar anomalías de seguridad o la visualización de datos históricos a lo largo del tiempo.
Además, los sistemas SIEM son capaces de mostrar al administrador si existen vulnerabilidades, así como si están siendo aprovechadas en los ataques.
Por su parte, entre los inconvenientes de estos sistemas encontramos su alto coste de implantación, una curva de aprendizaje larga, ya que es necesario formar personal propio para dicha tarea, y una integración limitada con el resto del sistema.