Blue Core Research
Contactanos
IDS & IPS – Toward Airtight Security
Combining IPS and IDS significantly reduces false negatives. That’s the key to better security since false negatives are how we get breached.

Anteriormente hablamos de las defensas centradas en los datos como la última línea de defensa crítica, donde uno de nuestros requisitos es intentar que sea lo más hermética posible. No es un requisito menor ni trivial, y en este artículo hablaremos de cómo conseguirlo.

Hay dos conceptos que tendremos que discutir:

  • Falsos positivos y falsos negativos
  • IPS (Sistemas de Prevención de Intrusiones) e IDS (Sistemas de Detección de Intrusiones)

Falsos negativos

Los falsos negativos, o errores de tipo 2, se producen cuando un sistema de seguridad no reacciona ante un ataque. Por lo tanto, nuestro objetivo es reducir o intentar eliminar los falsos negativos. Cuanto mejor lo hagamos, más hermética será nuestra seguridad.

Los falsos negativos son el secreto inconfesable de los sistemas de seguridad, el tema del que nadie habla. Nadie habla de cuántos falsos negativos tienen, cómo medirlos, estimarlos y, en general, sobre la eficacia de la seguridad. Es un tema importante, pero que todo el mundo intenta evitar.

Para comprender cómo reducir los falsos negativos, primero debemos comprender los falsos positivos.

Falsos positivos

Un falso positivo, o error de tipo 1, es lo contrario: cuando un sistema de seguridad clasifica erróneamente una actividad legítima como un ataque. Por ejemplo, cuando un correo electrónico válido acaba en la carpeta de spam.

Los falsos positivos pueden ser molestos, como en el caso de los correos electrónicos mal clasificados. Pero también pueden impedir que las personas realicen su trabajo cuando, por ejemplo, no pueden iniciar sesión en un sistema que necesitan para trabajar. Estos son ejemplos de falsos positivos en la seguridad preventiva. Debido a que pueden ser debilitantes y causar muchas quejas, el IPS está diseñado y ajustado para tener pocos o, idealmente, ningún falso positivo.

El equilibrio

Como se puede imaginar, existe una relación de compensación entre los falsos positivos y los falsos negativos. Reducir uno tiende a aumentar el otro. Por lo tanto, a medida que reducimos los falsos positivos para que las personas puedan realizar su trabajo, inevitablemente aumentamos los falsos negativos y más ataques pasan desapercibidos.

Otra forma de verlo es la sensibilidad del sistema de seguridad. Un sistema sensible detectará más ataques, pero tendrá muchas falsas alertas. Un sistema calibrado para ser menos sensible tendrá menos falsas alertas, pero pasará por alto muchos ataques.

IPS e IDS

Esto nos lleva al otro tema: IPS e IDS. Existe una idea errónea muy extendida de que la prevención es más importante que la detección. La lógica detrás de esto es: ¿por qué detectar algo cuando se puede prevenir? Suena como una buena idea, pero es errónea.

Como acabamos de decir, en IPS tenemos que reducir los falsos positivos, lo que aumenta los falsos negativos. Pero IDS no requiere tener cero falsos positivos. En el IDS, incluso esperamos cierto nivel de falsos positivos. Los falsos positivos en el IDS son falsas alertas que reciben los responsables de seguridad. Pueden resultar molestos si son demasiado frecuentes, pero esperamos que se produzcan hasta cierto punto. Ser capaces de aceptar algunos falsos positivos nos permite reducir significativamente los falsos negativos. En otras palabras, calibramos los sistemas IDS para que sean más sensibles y detecten un número mucho mayor de ataques.

El siguiente diagrama muestra la calibración ideal de IDS e IPS sin falsos positivos para el preventivo y sin falsos negativos para el detectivo. El área entre Preventivo y Detectivo ilustra en rojo los ataques que no son detectados por el preventivo (sus falsos negativos) y en azul las falsas alertas del detectivo (sus falsos positivos).

Si hubiera falsos positivos para el sistema preventivo, eso se mostraría como un cruce azul justo sobre la línea preventiva y sería bloqueado. Del mismo modo, los falsos negativos para el sistema detectivo serían un cruce rojo a la izquierda sobre la línea detectiva y no serían detectados.

El uso de una combinación de IDS e IPS es una forma sencilla de estimar el número de falsos negativos en el IPS. Hay otras formas de hacerlo utilizando el análisis estático.

Entonces, ¿qué es mejor, IDS o IPS?

La verdad es que necesitamos ambos. El preventivo para bloquear todo lo posible y el detectivo para identificar y alertar sobre el resto. Así es como nos acercamos a la seguridad total.

Hay otros mecanismos estratégicos para acercarnos a la seguridad total, como el uso de defensas en serie y parcialmente superpuestas. Eso nos lleva a la matriz de control de riesgos, que es el tema de otro artículo.

Si desea obtener más información o mantener una conversación gratuita con uno de nuestros expertos, póngase en contacto con nosotros en info@bluecoreresearch.com/esnew.

RELATED POSTS

También te puede interesar

IA Y Ciberseguridad

Capacidades IA Antes de discutir ciberseguridad, debemos entender primero la IA y qué puede h

Seguimiento de los cambios en los datos y requisitos de cumplimiento para las instituciones financieras

El seguimiento de los cambios en los datos es una piedra angular del mantenimiento de registros y

Seguridad de Bases de Datos: de amenazas a soluciones

¿Por qué es tan importante la seguridad de las bases de datos? Una brecha de datos grave sig