¿Qué es la detección de intrusos?
La detección de intrusos se ocupa de notar intentos no autorizados para acceder a una red informática o un sistema informático físico. Su propósito es detectar cualquier amenaza que pueda permitir el acceso a información no autorizada, afectar negativamente la integridad de los datos o dar como resultado una pérdida de acceso dentro de una red. Por lo general, se implementa mediante el uso de un sistema de detección de intrusos (IDS) que detecta, registra e registra varias información sobre otros que se conectan a la red o acceden a un host físico. Estos sistemas pueden variar desde soluciones de software que simplemente registran información de tráfico hasta sistemas físicos que involucran guardias de seguridad, cámaras y sensores de movimiento.
Existen tres tipos principales de detección de intrusos, incluidos los métodos basados en la red, los huéspedes y los físicos. Los métodos basados en la red intentan marcar el tráfico sospechoso de la red y generalmente usan programas que registran el tráfico y los paquetes que fluyen a través de una red. Los métodos basados en el host buscan posibles intrusiones en un sistema de computadora físicoTEM y verificar la integridad de los archivos, identificar RootKits, monitorear las políticas de seguridad locales y analizar registros. Los métodos físicos también se ocupan de la identificación de problemas de seguridad en dispositivos físicos y usan controles físicos, como personas, cámaras de seguridad, firewalls y sensores de movimiento. En muchos negocios con datos confidenciales y sistemas críticos, es deseable una combinación de estos métodos para la mejor seguridad posible.
.Los sistemas de detección de intrusos generalmente no evitan que ocurran intrusiones; En cambio, simplemente registran eventos que ocurren para que otros puedan recopilar y analizar la información. Aunque esto es especialmente cierto para los métodos de detección de intrusos basados en la red y basados en el host, esto puede no ser cierto para algunos métodos físicos, como los firewalls y el personal de seguridad. Los firewalls a menudo proporcionan la capacidad de bloquear el tráfico sospechoso y pueden aprender qué es y no se le permite el acceso. Personal de seguridad tambiénPuede evitar que las personas se diviertan físicamente en una empresa o centro de datos, y las trampas monitoreadas y los sistemas de control de acceso son otros métodos físicos que pueden evitar que alguien se rompa.
Las limitaciones de los sistemas de detección de intrusos significan que muchas organizaciones también usan un Sistema de Prevención de Intrusiones (IPS) para tomar medidas cuando se produce actividad sospechosa. Muchos de estos sistemas incluyen las funciones de un sistema de detección de intrusos y proporcionan un sistema de seguridad más completo que es útil al responder a las violaciones de seguridad es fundamental. Cuando el IPS detecta el tráfico sospechoso o las violaciones de políticas, toma la acción configurada en sus políticas. Los empleados de seguridad de la información o los administradores del sistema generalmente configuran las políticas que el IPS utiliza para responder a cada evento.