Un sistema de detección de intrusiones basado en host ( HIDS ) es un sistema de detección de intrusiones que es capaz de monitorear y analizar el interior de un sistema informático, así como los paquetes de red en sus interfaces de red, de manera similar a como lo hace un sistema de detección de intrusiones basado en red. (NIDS) opera. [1] En comparación con NIDS, HIDS es superior en su granularidad fina y su capacidad para detectar ataques internos. [2] Este fue el primer tipo de software de detección de intrusiones que se diseñó, siendo el sistema de destino original la computadora central donde la interacción externa era poco frecuente. [3]
Un IDS basado en host es capaz de monitorear todo o parte del comportamiento dinámico y el estado de un sistema informático , en función de cómo esté configurado. Además de actividades como la inspección dinámica de paquetes de red dirigidos a este host específico (componente opcional con la mayoría de las soluciones de software disponibles comercialmente), un HIDS podría detectar qué programa accede a qué recursos y descubrir que, por ejemplo, un procesador de textos ha comenzado repentina e inexplicablemente a modificar la base de datos de contraseñas del sistema. De manera similar, un HIDS podría observar el estado de un sistema, su información almacenada, ya sea en la RAM , en el sistema de archivos, en los archivos de registro o en cualquier otro lugar; y comprobar que el contenido de estos aparece como se esperaba, por ejemplo, no ha sido modificado por intrusos. [4]
Se puede pensar en un HIDS como un agente que monitorea si algo o alguien, ya sea interno o externo, ha eludido la política de seguridad del sistema .
En comparación con los sistemas de detección de intrusiones basados en red, HIDS tiene la ventaja de su capacidad de identificar ataques internos. Mientras NIDS examina los datos del tráfico de la red , HIDS examina los datos que se originan en los sistemas operativos . En los últimos años, HIDS se ha enfrentado al desafío del big data , que puede atribuirse al mayor avance de las instalaciones y metodologías de los centros de datos. [5]
Muchos usuarios de computadoras se han encontrado con herramientas que monitorean el comportamiento dinámico del sistema en forma de paquetes antivirus (AV). Si bien los programas antivirus a menudo también monitorean el estado del sistema, dedican gran parte de su tiempo a observar quién está haciendo qué dentro de una computadora y si un programa determinado debería o no tener acceso a recursos particulares del sistema. Las líneas se vuelven borrosas aquí, ya que muchas de las herramientas se superponen en funcionalidad.
Algunos sistemas de prevención de intrusiones protegen contra ataques de desbordamiento del búfer en la memoria del sistema y pueden aplicar políticas de seguridad . [6]
El funcionamiento principal de un HIDS depende del hecho de que los intrusos exitosos ( hackers ) generalmente dejan un rastro de sus actividades. De hecho, estos intrusos a menudo quieren ser dueños de la computadora que han atacado y establecerán su "propiedad" instalando software que les otorgará acceso futuro para llevar a cabo cualquier actividad ( registro de pulsaciones de teclas , robo de identidad , spam , actividad de botnets , software espía). -uso, etc.) que prevén.
En teoría, un usuario de computadora tiene la capacidad de detectar tales modificaciones, y el HIDS intenta hacer precisamente eso e informa sus hallazgos.
Lo ideal es que un HIDS funcione junto con un NIDS, de modo que un HIDS encuentre cualquier cosa que se escape del NIDS. Las soluciones de software disponibles comercialmente a menudo correlacionan los hallazgos de NIDS y HIDS para saber si un intruso de red ha tenido éxito o no en el host objetivo.
La mayoría de los intrusos exitosos, al ingresar a una máquina objetivo, aplican inmediatamente técnicas de seguridad de mejores prácticas para proteger el sistema en el que se han infiltrado, dejando abierta sólo su propia puerta trasera , de modo que otros intrusos no puedan apoderarse de sus computadoras.
En general, un HIDS utiliza una base de datos (objeto-base de datos) de los objetos del sistema que debe monitorear, generalmente (pero no necesariamente) objetos del sistema de archivos. Un HIDS también podría verificar que no se hayan modificado las regiones apropiadas de la memoria, por ejemplo, la tabla de llamadas del sistema para Linux y varias estructuras vtable en Microsoft Windows .
Para cada objeto en cuestión, un HIDS generalmente recordará sus atributos (permisos, tamaño, fechas de modificación) y creará una suma de verificación de algún tipo (un hash MD5 , SHA1 o similar) para el contenido, si lo hubiera. Esta información se almacena en una base de datos segura para su posterior comparación (base de datos de suma de verificación).
Un método alternativo a HIDS sería proporcionar funcionalidad de tipo NIDS en el nivel de interfaz de red (NIC) de un punto final (ya sea servidor, estación de trabajo u otro dispositivo final). Proporcionar HIDS en la capa de red tiene la ventaja de proporcionar un registro más detallado de la fuente (dirección IP) del ataque y los detalles del ataque, como los datos del paquete, ninguno de los cuales podría detectar un enfoque de monitoreo dinámico del comportamiento.
En el momento de la instalación, y siempre que cualquiera de los objetos monitoreados cambie legítimamente, un HIDS debe inicializar su base de datos de suma de verificación escaneando los objetos relevantes. Las personas a cargo de la seguridad informática deben controlar estrictamente este proceso para evitar que intrusos realicen cambios no autorizados en las bases de datos . Por lo tanto, dicha inicialización generalmente lleva mucho tiempo e implica bloquear criptográficamente cada objeto monitoreado y las bases de datos de suma de verificación o algo peor. Debido a esto, los fabricantes de HIDS generalmente construyen la base de datos de objetos de tal manera que hacen innecesarias las actualizaciones frecuentes de la base de datos de suma de verificación.
Los sistemas informáticos suelen tener muchos objetos dinámicos (que cambian con frecuencia) que los intrusos quieren modificar (y que, por tanto, un HIDS debería controlar), pero su naturaleza dinámica los hace inadecuados para la técnica de la suma de comprobación. Para superar este problema, HIDS emplea varias otras técnicas de detección: monitorear los cambios en los atributos de los archivos, los archivos de registro que disminuyeron de tamaño desde la última vez que se verificaron y muchos otros medios para detectar eventos inusuales.
Una vez que un administrador del sistema ha creado una base de datos de objetos adecuada (idealmente con la ayuda y el asesoramiento de las herramientas de instalación de HIDS) e inicializado la base de datos de suma de comprobación, el HIDS tiene todo lo que necesita para escanear los objetos monitoreados periódicamente e informar sobre cualquier cosa que pueda aparecer. haber salido mal. Los informes pueden tomar la forma de registros, correos electrónicos o similares.
Un HIDS generalmente hará todo lo posible para evitar que la base de datos de objetos, la base de datos de suma de verificación y sus informes sufran cualquier forma de manipulación. Después de todo, si los intrusos logran modificar cualquiera de los objetos que monitorea el HIDS, nada puede impedir que dichos intrusos modifiquen el propio HIDS, a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus intentarán desactivar las herramientas antivirus, por ejemplo.
Aparte de las criptotécnicas, HIDS podría permitir a los administradores almacenar las bases de datos en un CD-ROM o en otros dispositivos de memoria de sólo lectura (otro factor a favor de las actualizaciones poco frecuentes...) o almacenarlas en alguna memoria fuera del sistema. De manera similar, un HIDS a menudo enviará sus registros fuera del sistema de inmediato, generalmente utilizando canales VPN a algún sistema de administración central.
Se podría argumentar que el módulo de plataforma confiable comprende un tipo de HIDS. Aunque su alcance difiere en muchos aspectos del de un HIDS, fundamentalmente proporciona un medio para identificar si algo o alguien ha manipulado una parte de una computadora. Arquitectónicamente, esto proporciona lo último (al menos en este momento [update]) detección de intrusiones basada en host, ya que depende del hardware externo a la propia CPU , lo que hace que sea mucho más difícil para un intruso corromper sus bases de datos de objetos y sumas de comprobación.
InfoWorld afirma que el software del sistema de detección de intrusos basado en host es una forma útil para que los administradores de red encuentren malware y sugiere que lo ejecuten en todos los servidores, no sólo en los servidores críticos. [7]