IDS e IPS ¿qué son y para qué sirven?

Existen dos tipos de sistemas que nos ayudan a identificar intrusos en nuestras redes o equipos, los que se basan en host llamados HIDS y los de red conocidos como NIDS. Realmente en las empresas solo se habla de IDS y dependiendo del enfoque de aplicación, se elige alguno.

¿Qué es un IDS y un IPS?

Los IDS  (Intrusion Detection System) son aplicativos que detectan actividades no autorizadas en un equipo o una red, es decir, realizan el monitoreo de el tráfico y actividades, comparándolo con una base de datos que contiene las firmas o actividades que realizan los ataques más conocidos, informando o alertando de dichas detecciones. 

Estos sistemas solo alertan pero no bloquean la actividad o intrusión en caso de existir.

Los IPS (Intrusion Prevention System) en cambio, se utilizan para proteger a los sistemas de ataques e intrusiones, son sistemas preventivos que identifican intrusiones o intentos de acceso no autorizado, comparando las actividades con bases de datos que contienen las firmas. 

También existen algunos IPS que hacen uso de la inteligencia artificial para poder detectar intrusiones con base en comportamientos sospechosos. La diferencia con el IDS, es que sí aplica políticas de seguridad, por lo que puede bloquear las detecciones generadas.

Principales ventajas de un IDS e IPS:

➥Nos permiten tener visibilidad en la red y dispositivos.
➥Recopilan información para reconocer intrusiones.
➥Automatizan la búsqueda de intrusiones.
➥Pueden ser escalables.
➥Protección preventiva.
➥Ayudan a proteger contra múltiples ataques.
➥Aumentan la seguridad en los equipos o en la red.

¿Cuáles podrían ser las desventajas de los IDS e IPS?

➥Pueden generar muchos falsos positivos.
➥Son susceptibles a recibir ataques de denegación de servicio.

Ahora puedes ver que son más ventajas que desventajas, por lo que la implementación de estos sistemas en tu infraestructura local o híbrida te permitirán actuar contra las principales amenazas que podrían generar un incidente de seguridad, protegiendo las redes y los dispositivos ya que podrían ayudar a detectar y erradicar una intrusión que ponga en riesgo a la empresa.

Tanto IDS como IPS ayuda a proteger de mejor forma la red y dispositivos, implementando una capa adicional de seguridad. 

La combinación de los dos sistemas es recomendada para robustecer nuestro ecosistema de Ciberseguridad. 

Si al final todo lo llevas hacia un SIEM, ten por seguro que si se encuentra bien configurado e implementado, tendrás un sistema de detección de intrusos bastante completo.

#ids #ips #ciberseguridad #prevenciondeincidentes #sistemasdeprevencion #siem #hids #nids #ciberataques #ciberamenazas #infosec