Llegamos a ustedes gracias a:



Reportajes y análisis

12 principales herramientas de IDS/IPS

[08/04/2020] Un sistema de detección de intrusos (IDS, por sus siglas en inglés) es un elemento básico de la seguridad informática; es una aplicación de software o dispositivo físico que monitoriza las redes, los hosts o ambos para detectar signos de que un intruso ha entrado en su infraestructura informática. Muchas de esas herramientas integran la capacidad no solo de detectar esos ataques, sino de combatirlos automáticamente, lo que las coloca en la categoría conexa de los sistemas de prevención de intrusos (IPS, por sus siglas en inglés).

Los IDS/IPS se han considerado durante mucho tiempo como un mercado diferenciado, y muchos están disponibles como productos independientes. Sin embargo, los proveedores de seguridad están cada vez más ansiosos por envolver una serie de herramientas de seguridad en "plataformas" u otras ofertas igualmente unificadas. A veces venden productos o servicios con un IPS en el centro y otros elementos añadidos.

Hemos desglosado 12 de las herramientas IPS e IDS más populares que existen. Algunas se mantienen por sí solas, mientras que otras son solo una parte de un sistema más amplio, y hemos explicado dónde cae cada herramienta en esa división. Incluso hemos incluido en la lista un par de herramientas de código abierto muy antiguas y queridas, ya que aún se utilizan ampliamente en empresas de diversos tamaños por profesionales de la informática que las conocen bien.

Una cosa a tener en cuenta: Como con la mayoría de los programas empresariales, estas ofertas no tienen una simple etiqueta de precio, ya que los proveedores trabajan con VARs y a menudo dan descuentos a los clientes de larga data. Muchos también vienen en modelos o niveles con una gama de capacidades de procesamiento. Hemos ofrecido orientación sobre los precios en los casos en que esa información es pública, o en los que los proveedores estaban dispuestos a compartirla con nosotros.

1. Cisco NGIPS

El Sistema de Prevención de Intrusiones de Nueva Generación de Cisco (NGIPS) es parte de la oferta de seguridad general del gigante de las redes, que se agrupa bajo la marca Firepower. Cisco promete la visibilidad de los datos de seguridad a través del centro de administración centralizada de Firepower, y el NGIPS también puede integrarse con otras herramientas de seguridad de Cisco. Las reglas de política y las firmas de amenaza que NGIPS utiliza para detectar y prevenir intrusiones se actualizan cada dos horas. NGIPS puede funcionar en un dispositivo Cisco o en una instancia VMware, y puede posicionarse de manera flexible dentro de su red.

2. Corelight y Zeek

Zeek (antes conocido como Bro) es un sistema de detección de intrusos desarrollado por primera vez en el Laboratorio Nacional Lawrence Berkeley en los 90. Zeek ofrece un análisis general en profundidad del tráfico de la red con un enfoque en la seguridad; trabaja para analizar diferentes flujos de actividad y eventos, y los compara con los guiones de políticas escritas en el propio lenguaje de guiones de Zeek. Corelight, fundado por el creador de Zeek, Vern Paxson, ofrece Zeek pre empaquetado en dispositivos físicos o virtuales, con una interfaz gráfica de usuario fácil de usar, guiones precargados y soporte para un mayor rendimiento.

Precios: Corelight funciona con un modelo de suscripción, que comienza en 19 mil dólares al año para clientes con dispositivos físicos; las implementaciones VM o en nube son más baratas y tienen un precio por Gbps. Los costos de hardware son independientes y varían según el tamaño y el número de sensores desplegados, con precios virtuales y de nubes basados en la capacidad. (Zeek en sí se ofrece bajo la licencia BSD y es gratis de descargar y usar, aunque Corelight estima que instalar su propia instalación optimizada de Zeek puede llevar meses).

3. Fidelis Network

Fidelis Network es el componente IPS de su plataforma Elevate, que también incluye capas de tecnología de respuesta y engaño de punto final. Fidelis Network analiza el tráfico a través de los puertos y utilizando múltiples protocolos para detectar e informar de anomalías, así como para generar metadatos que pueden ser analizados más a fondo por otras herramientas; utiliza la base de conocimientos de MITRE ATT&CK para evaluar las amenazas. Con sensores que operan directamente en su red y en la nube, Fidelis Network también mapea toda la topografía de su red, lo que puede ayudarle a rastrear despliegues de TI en la sombra que pueden no estar debidamente asegurados.

Precios: El precio de Fidelis Network se basa en el ancho de banda total de la red y en los días de metadatos almacenados extraídos por los sensores de la red. El precio de suscripción anual para un gigabit de ancho de banda de red agregado y 30 días de metadatos, administrados y almacenados en la nube, comienza en 78 mil dólares. El hardware opcional de los sensores de red se vende por separado. También está disponible la administración y el almacenamiento de datos On-prem .

4. FireEye Intrusion Prevention System

La solución de seguridad de FireEye, que puede funcionar como un dispositivo físico o un dispositivo virtual en la nube, incluye un IPS como parte de su funcionalidad de a bordo. Uno de los grandes lanzamientos de seguridad de FireEye es su motor de ejecución virtual multivectorial (MVX, por sus siglas en inglés), que el IPS y otras herramientas utilizan para ejecutar código potencialmente peligroso en un entorno virtual controlado para probarlo. FireEye dice que esto es más fiable que confiar en las firmas de ataque, que no pueden detectar los ataques de día cero, y también reduce el tiempo dedicado a la persecución de falsos positivos, en un 97%, según la compañía.

5. Hillstone S-Series

La serie S de dispositivos de Hillstone Networks ofrece un sistema de prevención de intrusiones en la red en línea que promete velocidades de cable; se dispone de una amplia gama de modelos para soportar diferentes volúmenes de tráfico de red. La S-Series utiliza tanto una lista incorporada de firmas de ataque como una sandbox basada en la nube para investigar códigos sospechosos; Hillstone dice que puede detectar comportamientos anormales en toda la pila, desde L3 a L7. Aunque este IPS no es parte de una oferta integral como algunos de los otros de esta lista, el S-Series ofrece algunas funcionalidades adicionales, como la lucha contra el spam y el bloqueo de URL. Puede funcionar en modo pasivo (IDS) o activo (IPS).

6. McAfee Network Security Platform

McAfee posiciona su Network Security Platform, que puede funcionar en dispositivos físicos o virtuales dentro de su red, como un "sistema de prevención de intrusiones de próxima generación". Combinando motores de detección basados en firmas y sin firmas, Network Security Platform también correlaciona la actividad de las amenazas con el uso de las aplicaciones para controlar el posible mal comportamiento. La versión virtual del dispositivo extiende la funcionalidad a nubes públicas o privadas. Network Security Platform también puede integrarse con otro software de McAfee, y también obtiene información sobre amenazas constantemente actualizada de McAfee.

Precios: La línea de productos Network Security Platform tiene un espectro de precios basado en sus capacidades, comenzando en las cuatro cifras más bajas y llegando hasta las seis cifras más bajas para una pila de 100Gb.

7. OSSEC

El OSSEC es un IDS basado en un host que se produce por un proyecto de código abierto de larga duración. Ha sido ampliamente descargado y utilizado -el proyecto recibe más de 500 mil descargas al año- y funciona en Windows, MacOS, y un montón de sistemas tipo Unix, incluyendo Linux. OSSEC monitoriza los registros que varios componentes del sistema generan en tiempo real, y puede detectar cambios en archivos individuales, incluyendo los importantísimos archivos de registro de Windows. Aunque es principalmente un IDS, el OSSEC también puede responder a los ataques, utilizando tanto sus propias capacidades como la integración con herramientas de terceros.

El precio: Como proyecto de código abierto, OSSEC es libre de descargar, modificar y usar. Atomicorp ofrece una versión empresarial con una consola de administración dedicada, reglas pre-construidas y reportes de cumplimiento.

8. Snort

Snort es un venerable proyecto de código abierto que comenzó como un rastreador de paquetes (de ahí su nombre) pero que ha evolucionado para incluir la funcionalidad de un completo IDS basado en la red. Las características de seguridad de Snort funcionan aplicando reglas personalizadas a los paquetes de red que analiza, y puede detectar una variedad de diferentes ataques usando tanto la detección basada en firmas como en anomalías. La comunidad de Snort es considerada muy abierta y acogedora, aunque la herramienta en sí puede ser algo difícil de usar para los novatos.  

Precios: Como proyecto de código abierto, Snort es libre de descargar, modificar y usar, y un conjunto de reglas de la comunidad Snort continuamente actualizadas está disponible de forma gratuita bajo la GPL para mantener las instalaciones de Snort actualizadas. También están disponibles suscripciones a reglas de pago que proporcionan conjuntos de reglas más amplias y actualizadas 30 días antes del conjunto de reglas de la comunidad: éstas cuestan 29,99 dólares por año para individuos y 399 dólares por año por sensor para empresas, con precios personalizados para los integradores de sistemas. Snort es actualmente mantenido por Cisco y parte de su funcionalidad subyace en el NGIPS de Cisco, discutido anteriormente.

9. Trend Micro TippingPoint

TippingPoint fue una empresa fundada en 1999 que pasó entre los gigantes corporativos (fue una división de Hewlett Packard en un momento dado) antes de aterrizar en Trend Micro en el 2015. Hoy en día, es la marca de las ofertas de IPS de Trend Micro, que están disponibles como dispositivos físicos o virtuales. TippingPoint ofrece actualizaciones automatizadas de las firmas de amenazas de Trend Micro y Zero Day Initiative, junto con sistemas de aprendizaje automático que pueden detectar ataques previamente desconocidos. Los dispositivos prometen una tolerancia a las fallas para que se puedan implementar de forma segura en línea, y la versión virtual amplía su funcionalidad a las nubes públicas o privadas. La herramienta también se puede integrar en otras ofertas de seguridad de Trend Micro, así como en aplicaciones de terceros.

10. Vectra Cognito

Vectra posiciona su oferta insignia Cognito como una plataforma de "detección y respuesta de red". Cognito se basa en gran medida en la inteligencia artificial y el aprendizaje de máquinas para combatir los ataques, que según la empresa supera los métodos de defensa basados en firmas. La plataforma alerta a los usuarios sobre las amenazas y recopila datos para facilitar a los cazadores de amenazas humanas la tarea de concentrarse en los posibles ataques. Presenta los datos en el formato ampliamente comprendido de Zeek (aunque en realidad no utiliza el código de Zeek bajo el capó) y puede integrarse con una amplia variedad de herramientas de seguridad de diferentes proveedores a través de las API.

Precios: El precio de Vectra Cognito se basa en las direcciones IP concurrentes y abarcará desde PYMES hasta organizaciones que tengan hasta 350 mil IPs concurrentes. Los clientes pueden suscribirse a los componentes de detección, recuperación y transmisión de Cognito de la plataforma por separado o conjuntamente; el precio comienza en torno a los 10 mil dólares para las empresas medianas.

11. BlueVector Cortex

Cortex de BlueVectorse considera un IDS querido por los analistas porque está construido con un número de componentes de código abierto que los analistas ya conocen y aman: Zeek (ver arriba), Suricata, y ClamAV, entre otros. A la mezcla se añade el propio detector de malware sin archivos de BlueVector y el motor de aprendizaje de máquina, todo ello incluido en un dispositivo modular físico o virtual. Una API abierta que puede ayudar a la plataforma a integrarse con otras herramientas.

12. ZScalar Cloud IPS

ZScalar posiciona a su Cloud IPS como un nuevo paradigma en la protección contra las intrusiones. A diferencia de la mayoría de los servicios de esta lista, que existen como dispositivos físicos o virtuales, ZScalar Cloud vive, como su nombre lo indica, enteramente en la nube. Esto permite que el Cloud IPS se centre en los usuarios y su tráfico de red, no en los servidores individuales, y se acomoda a las redes modernas en las que gran parte del tráfico de una empresa se destina a servicios alojados fuera del control inmediato de TI. Debido a que el Cloud IPS es una oferta SaaS, se actualiza constantemente con los últimos datos de las amenazas. También ofrece descifrado SSL.

Precios: Como oferta SaaS, el Cloud IPS está medido, permitiéndole añadir capacidad a medida que sus necesidades se expanden. También se integra con otros servicios de seguridad en la nube de ZScalar, que pueden ser activados según sea necesario.