Anteriormente hablamos de las defensas centradas en los datos como la última línea de defensa crítica, donde uno de nuestros requisitos es intentar que sea lo más hermética posible. No es un requisito menor ni trivial, y en este artículo hablaremos de cómo conseguirlo.

Hay dos conceptos que tendremos que discutir:

– Falsos positivos y falsos negativos

– IPS (Sistemas de Prevención de Intrusiones) e IDS (Sistemas de Detección de Intrusiones)

Los falsos negativos se producen cuando un sistema de seguridad no reacciona ante un ataque. Por lo tanto, nuestro objetivo es reducir o intentar eliminar los falsos negativos. Si lo conseguimos, tendremos una seguridad hermética.

Los falsos negativos son el pequeño y sucio secreto de los sistemas de seguridad: el tema del que nadie habla. Nadie habla de cuántos falsos negativos tienen, de cómo medirlos, estimarlos y, en general, de la eficacia de la seguridad. Es un tema importante, pero que todo el mundo intenta evitar.

Para entender cómo reducir los falsos negativos, primero debemos entender los falsos positivos.

Un falso positivo es lo contrario: cuando un sistema de seguridad clasifica incorrectamente una actividad legítima como un ataque, por ejemplo, cuando un buen correo electrónico llega a la carpeta de spam.

Los falsos positivos pueden ser molestos, como en el caso de los correos electrónicos mal clasificados, pero también pueden impedir que la gente haga su trabajo cuando, por ejemplo, no pueden iniciar sesión en un sistema que necesitan para trabajar. Estos son ejemplos de falsos positivos en seguridad preventiva. Dado que pueden ser debilitantes y causar muchas quejas, los IPS se diseñan y ajustan para que tengan pocos o, en el mejor de los casos, ningún falso positivo.

Como puedes imaginar, hay un equilibrio entre falsos positivos y falsos negativos. Reducir uno tiende a aumentar el otro. Así, al reducir los falsos positivos para que la gente pueda hacer su trabajo, inevitablemente aumentan los falsos negativos, y más ataques pasan desapercibidos.

Otra forma de verlo es la sensibilidad del sistema de seguridad. Un sistema sensible detectará más ataques pero tendrá muchas falsas alertas. Un sistema calibrado para ser menos sensible tendrá menos falsas alertas pero pasará por alto muchos ataques.

Esto nos lleva al otro tema de los IPS y los IDS. Existe la idea errónea de que la prevención es más importante que la detección. La lógica detrás de esto es, ¿por qué detectar algo cuando puedes prevenirlo? Parece una buena idea, pero es errónea.

Como acabamos de decir, en IPS tenemos que reducir los falsos positivos, y eso aumenta los falsos negativos. Pero IDS no tiene un requisito de cero falsos positivos, e incluso esperamos un cierto nivel de falsos positivos. Los falsos positivos en IDS son falsas alertas que recibe la gente de seguridad, y pueden ser molestos si son demasiado frecuentes, pero los esperamos hasta cierto punto. Ser capaces de acomodar algunos falsos positivos nos permite reducir significativamente los falsos negativos. En otras palabras, calibramos los sistemas IDS para que sean más sensibles y detecten un número mucho mayor de ataques.

Utilizar una combinación de IDS e IPS es una forma sencilla de calcular el número de falsos negativos del IPS. Hay otras formas de hacerlo utilizando el análisis estático.

Entonces: ¿Qué es mejor, IDS o IPS?

La verdad es que necesitamos ambos. Preventivos para bloquear todo lo posible y detectives para identificar y alertar sobre el resto. Así es como nos acercamos al hermetismo.

Y también hay otros mecanismos estratégicos para acercarse al hermetismo, como el uso de defensas en serie y parcialmente solapadas. Esto nos lleva a la matriz de control de riesgos, que es el tema de otro artículo.

Si desea saber más o mantener una conversación gratuita con uno de nuestros expertos, póngase en contacto con nosotros en info@bluecoreresearch.com.