Qué es y cómo funciona el sistema de detección de intrusos IDS

Un sistema informático de intrusos IDS ayuda a detectar los ataques y evitar cualquier amenaza de forma automatizada.  

Sistema IDS
Sistema IDS

Mantener la red a salvo de intrusiones es una parte importante del plan de seguridad de cualquier empresa. Los software antivirus se configuran en cada dispositivo individual, pero no son suficientes para proteger una red completa de ataques.

Desde el Instituto Nacional de Ciberseguridad (Incibe) se subraya la necesidad de implementar un sistema informático de intrusos IDS, capaz de detectar incidencias y evitar cualquier amenaza de forma automatizada.  

¿Qué es un sistema de detección de intrusos IDS?

Incibe define el sistema IDS (Intrusion Detection System) como “una aplicación usada para detectar accesos no autorizados a un ordenador o a una red”, que pueden ser “ataques realizados por usuarios malintencionados con conocimientos de seguridad o usando herramientas automáticas”. Como aclara el Instituto Nacional de Ciberseguridad, “a diferencia de los IPS, estos sistemas sólo detectan intentos de acceso y no tratan de prevenir su ocurrencia”.

El IDS se emplea para monitorear el tráfico y detectar las actividades sospechosas, destinado a aplicarse en toda una red. Un IDS puede capturar instantáneas y usar la inteligencia recopilada de patrones preestablecidos para determinar cuándo se produce un ataque.

Una vez que ya ha ocurrido un ataque, el sistema IDS proporciona información importante para prevenir futuras incidencias. Conocer el alcance de la intrusión también es importante para determinar su respuesta y mejorar la seguridad del sistema.

Sistema de seguridad IDS
Sistema de detención de intrusos IDS

¿Cuáles son las diferentes formas de clasificar un IDS?

Hay varios tipos de IDS en el mercado y existen distintos software de detección de intrusiones, dificultando la tarea de elegir el mejor modelo para cada empresa. Se pueden clasificar según el sistema que monitorean (NIDS e HIDS) y en función de cómo se implementan (SIDS y SIDA).

Históricamente, los sistemas de detección de intrusos se identificaban como pasivos o activos. Mientras que los primeros detectan actividad maliciosa generando alertas, los segundos, además de avisar y ofrecer un registro, pueden configurarse para tomar medidas, como bloquear direcciones IP o cerrar el acceso a recursos restringidos.

Inconvenientes del sistema IDS

En cuanto a las desventajas del sistema IDS hay sin duda los falsos positivos, que bloquean la regular actividad de la empresa. Por otro lado, en los sistemas pasivos no proporcionan el bloqueo de los ataques. Los sistemas activos, por su parte, pueden causar que el IDS deje de funcionar y son vulnerables a ataques DDos, o sea a intentos malintencionados de afectar la disponibilidad del sistema atacado.