IDS
Prdida de
beneficios
Perjuicio de la
reputacin
Deterioro de la
confianza del
inversor
Prdida o
compromiso
de seguridad
de los datos
Deterioro de la
confianza del
cliente
Interrupcin de
los procesos
empresariales
Consecuencias
legales
Arturo de la Torre
Increased Oversight
Significant
Threats
Vulnerabilities s
Legal
Regulatory
Cybercriminal actions
code red
nimda
slammer
msblast
Arturo de la Torre
Qu es el Riesgo Informtico?
Diseamos los sistemas para minimizar el Riesgo
Informtico.
El riesgo es una funcin de la vulnerabilidad de los sistemas
y la exposicin de ellos al entorno como consecuencia de un
evento.
R=VxE
Arturo de la Torre
Las
WEB
Server
Mobile
Users
File/Applications
Server
E-mail
Gateway
Workstatio
ns
Perimetral
Arturo de la Torre
Qu es un falso positivo?
Qu es un falso negativo?
Reconocimiento de firmas
La mayora de sistemas de este tipo se disean para
examinar el trfico, buscando en el mismo huellas de
ataques conocidos. Esto significa que para cada tcnica de
Hacking, los ingenieros debern codificar algo que
identifiquen inequvocamente a esta tcnica.
Las opciones aqu conocidas pueden variar desde la simple
coincidencia de un rastro dejado en el sistema. Por ejemplo
rastrear el destino de cada paquete enviado por la red
desde el origen "/cgi-bin/phf?", lo cual puede identificar que
alguien esta intentando violar el sistema a travs de una
vulnerabilidad bien identificada en el servidor.
Arturo de la Torre
Qu es la deteccin de intrusos?
Los
Basados en firmas
Basados en el anlisis de acciones.
Arturo de la Torre
Las firmas dejadas por un hacker son evidencias de una violacin al sistema.
Cuando un ataque malicioso es lanzado contra un sistema, el atacante
necesariamente deja evidencias de sus acciones en los logs del sistema.
Cada intento de violacin deja huellas de accesos no autorizados (e.g.,
unauthorized software executions, failed logins, misuse of administrative
privileges, file and directory access).
Basados en esta evidencia el administrador puede documentar el ataque y
prevenir la violacin del sistema en el futuro.
Adems puede tener un registro de firmas propio complementario que le ayude a
proteger el sistema en forma pro activa, determinado que ataque fue perpetrado,
en qu forma y bajo qu condiciones.
Arturo de la Torre
Estas
Arturo de la Torre
Qu es un sistema de prevencin de
red IPS?
INFECTED
Para que una prevencin sea efectiva, debe desarrollarse en lnea y ser
capaz de detectar automticamente las acciones maliciosas. Adicionalmente,
deber bloquear los paquetes maliciosos en el trfico normal de la red, antes
de que pueda ocasionar daos.
La prevencin debe presentarse an cuando las condiciones de trfico son
extremas y consecuentemente importantes.
El trfico positivo nunca deber bloquearse an durante un ataque de red.
Finalmente un IPS deber tener una latencia similar a la de un switch.
Arturo de la Torre
1.
2.
3.
4.
5.
Acceso desde una consola central a todas las estaciones, que permiten
mantener datos para auditoria.
Capacidad de crecimiento proporcional a los nuevos requerimientos de
la red.
Actualizaciones que cubran los nuevos requerimientos que pueda
presentar nuestra red a futuro (firmas, parches, configuraciones).
Presentacin de informacin en forma comprensible para los
administradores, sobre los tipos de ataques maliciosos realizados contra
el sistema, y recomendaciones para reprogramar los firewalls, email
gateways, web services.
Una combinacin de anlisis de trafico en la red y comportamiento de los
sistemas operativos, a fin de determinar posibles amenazas.
Arturo de la Torre