Sistema de detección de intrusiones basado en host

Tipo de sistema de detección de intrusiones

Un sistema de detección de intrusiones basado en host ( HIDS ) es un sistema de detección de intrusiones que es capaz de monitorear y analizar los componentes internos de un sistema informático, así como los paquetes de red en sus interfaces de red, de manera similar a la forma en que opera un sistema de detección de intrusiones basado en red (NIDS). ^[1] HIDS se enfoca en ataques más granulares e internos al enfocarse en monitorear las actividades del host en lugar del tráfico general de la red. ^[2] HIDS fue el primer tipo de software de detección de intrusiones que se diseñó, siendo el sistema de destino original la computadora central donde la interacción externa era poco frecuente. ^[3]

Uno de los principales problemas del uso de HIDS es que debe instalarse en todos y cada uno de los equipos que necesitan protección contra intrusiones, lo que puede provocar una ralentización del rendimiento del dispositivo y de los sistemas de detección de intrusiones. ^[4]

Descripción general

Un IDS basado en host es capaz de monitorear todo o parte del comportamiento dinámico y el estado de un sistema informático , en función de cómo esté configurado. Además de actividades como la inspección dinámica de paquetes de red dirigidos a este host específico (componente opcional con la mayoría de las soluciones de software disponibles comercialmente), un HIDS puede detectar qué programa accede a qué recursos y descubrir que, por ejemplo, un procesador de textos ha comenzado repentina e inexplicablemente a modificar la base de datos de contraseñas del sistema. De manera similar, un HIDS puede observar el estado de un sistema, su información almacenada, ya sea en RAM , en el sistema de archivos, archivos de registro o en otro lugar; y verificar que el contenido de estos aparezca como se esperaba, por ejemplo, no haya sido modificado por intrusos. ^[5]

Se puede pensar en un HIDS como un agente que monitorea si algo o alguien, ya sea interno o externo, ha eludido la política de seguridad del sistema .

En comparación con los sistemas de detección de intrusiones basados ​​en la red, HIDS es ventajoso debido a su capacidad de identificar ataques internos. Mientras que NIDS examina los datos del tráfico de la red , HIDS examina los datos que se originan en los sistemas operativos . En los últimos años, HIDS se ha enfrentado al desafío de los macrodatos , que se puede atribuir al mayor avance de las instalaciones y metodologías de los centros de datos. ^[6]

Monitoreo del comportamiento dinámico

Muchos usuarios de computadoras se han encontrado con herramientas que monitorean el comportamiento dinámico del sistema en forma de paquetes antivirus (AV). Si bien los programas AV también suelen monitorear el estado del sistema, dedican mucho tiempo a observar quién está haciendo qué dentro de una computadora y si un programa determinado debería o no tener acceso a recursos específicos del sistema. Las líneas se vuelven borrosas aquí, ya que muchas de las herramientas se superponen en funcionalidad.

Algunos sistemas de prevención de intrusiones protegen contra ataques de desbordamiento de búfer en la memoria del sistema y pueden aplicar políticas de seguridad . ^[7]

Estado de monitoreo

El principio de funcionamiento de un HIDS depende del hecho de que los intrusos que logran su objetivo ( piratas informáticos ) generalmente dejan un rastro de sus actividades. De hecho, estos intrusos a menudo quieren ser dueños del equipo que han atacado y establecerán su "propiedad" instalando software que les otorgará acceso futuro para llevar a cabo cualquier actividad ( registro de pulsaciones de teclas , robo de identidad , envío de correo basura , actividad de botnets , uso de software espía , etc.) que tengan en mente.

En teoría, un usuario de computadora tiene la capacidad de detectar cualquier modificación de este tipo, y el HIDS intenta hacer precisamente eso e informa sus hallazgos.

Lo ideal es que un HIDS funcione en conjunto con un NIDS, de modo que un HIDS detecte todo lo que se le escape al NIDS. Las soluciones de software disponibles comercialmente suelen correlacionar los hallazgos del NIDS y el HIDS para averiguar si un intruso de la red ha tenido éxito o no en el host objetivo.

La mayoría de los intrusos exitosos, al ingresar a una máquina objetivo, aplican inmediatamente las mejores prácticas técnicas de seguridad para proteger el sistema en el que se han infiltrado, dejando abierta únicamente su propia puerta trasera , para que otros intrusos no puedan tomar control de sus computadoras.

Técnica

En general, un HIDS utiliza una base de datos (base de datos de objetos) de objetos del sistema que debe supervisar, generalmente (pero no necesariamente) objetos del sistema de archivos. Un HIDS también podría verificar que no se hayan modificado las regiones apropiadas de la memoria, por ejemplo, la tabla de llamadas del sistema para Linux y varias estructuras de vtable en Microsoft Windows .

Para cada objeto en cuestión, un HIDS generalmente recordará sus atributos (permisos, tamaño, fechas de modificación) y creará una suma de comprobación de algún tipo (un hash MD5 , SHA1 o similar) para el contenido, si lo hubiera. Esta información se almacena en una base de datos segura para su posterior comparación (base de datos de suma de comprobación).

Un método alternativo a HIDS sería proporcionar una funcionalidad de tipo NIDS en el nivel de interfaz de red (NIC) de un punto final (ya sea un servidor, una estación de trabajo u otro dispositivo final). Proporcionar HIDS en la capa de red tiene la ventaja de proporcionar un registro más detallado de la fuente (dirección IP) del ataque y de los detalles del ataque, como los datos del paquete, ninguno de los cuales podría verse con un enfoque de monitoreo de comportamiento dinámico.

Operación

En el momento de la instalación (y siempre que alguno de los objetos monitoreados cambie legítimamente), un HIDS debe inicializar su base de datos de sumas de comprobación escaneando los objetos relevantes. Las personas a cargo de la seguridad informática deben controlar este proceso de manera estricta para evitar que los intrusos realicen cambios no autorizados en las bases de datos . Por lo tanto, dicha inicialización generalmente lleva mucho tiempo e implica bloquear criptográficamente cada objeto monitoreado y las bases de datos de sumas de comprobación o algo peor. Debido a esto, los fabricantes de HIDS generalmente construyen la base de datos de objetos de tal manera que no sea necesario realizar actualizaciones frecuentes a la base de datos de sumas de comprobación.

Los sistemas informáticos suelen tener muchos objetos dinámicos (que cambian con frecuencia) que los intrusos quieren modificar (y que, por lo tanto, un HIDS debería supervisar), pero su naturaleza dinámica los hace inadecuados para la técnica de suma de comprobación. Para superar este problema, los HIDS emplean otras técnicas de detección: supervisión de atributos de archivo cambiantes, archivos de registro que disminuyeron de tamaño desde la última comprobación y otros numerosos medios para detectar eventos inusuales.

Una vez que un administrador de sistemas ha creado una base de datos de objetos adecuada (preferiblemente con la ayuda y el asesoramiento de las herramientas de instalación de HIDS) e inicializado la base de datos de suma de comprobación, HIDS tiene todo lo que necesita para escanear los objetos monitoreados regularmente e informar sobre cualquier cosa que parezca haber salido mal. Los informes pueden adoptar la forma de registros, correos electrónicos o similares.

Protegiendo el HIDS

Por lo general, un HIDS hará todo lo posible para evitar que la base de datos de objetos, la base de datos de sumas de comprobación y sus informes sufran cualquier tipo de manipulación. Después de todo, si los intrusos consiguen modificar alguno de los objetos que supervisa el HIDS, nada puede impedir que dichos intrusos modifiquen el propio HIDS, a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus intentarán desactivar las herramientas antivirus, por ejemplo.

Además de las técnicas criptográficas, HIDS puede permitir a los administradores almacenar las bases de datos en un CD-ROM o en otros dispositivos de memoria de sólo lectura (otro factor a favor de las actualizaciones poco frecuentes...) o almacenarlas en alguna memoria externa al sistema. De manera similar, un HIDS a menudo enviará sus registros fuera del sistema de forma inmediata, generalmente mediante canales VPN a algún sistema de administración central.

Se podría argumentar que el módulo de plataforma confiable comprende un tipo de HIDS. Aunque su alcance difiere en muchos aspectos del de un HIDS, fundamentalmente proporciona un medio para identificar si algo o alguien ha manipulado una parte de una computadora. Desde el punto de vista arquitectónico, esto proporciona la ^[update]detección de intrusiones basada en host definitiva (al menos en este momento), ya que depende de hardware externo a la propia CPU , lo que hace que sea mucho más difícil para un intruso corromper sus bases de datos de objetos y sumas de comprobación.

Recepción

InfoWorld afirma que el software de sistema de detección de intrusiones basado en host es una forma útil para que los administradores de red encuentren malware y sugiere que lo ejecuten en todos los servidores, no solo en los críticos. ^[8]

Véase también

• Comparación de sistemas de detección de intrusiones basados ​​en host
• Sistemas de seguridad de Internet de IBM : HIDS/NIDS comerciales
• Tripwire de código abierto : HIDS de código abierto
• OSSEC : un sistema HIDS multiplataforma de código abierto
• Grupo de Computación de Confianza

Referencias

1. Newman, Robert C. (2009). Seguridad informática: protección de los recursos digitales. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0.
2. Liu, Ming; Xue, Zhi; Xu, Xianghua; Zhong, Changmin; Chen, Jinjun (19 de noviembre de 2018). "Sistema de detección de intrusiones basado en host con llamadas al sistema: revisión y tendencias futuras". ACM Computing Surveys . 51 (5): 98:1–98:36. doi :10.1145/3214304. ISSN  0360-0300.
3. Debar, Hervé; Dacier, Marc; Wespi, Andreas (23 de abril de 1999). "Hacia una taxonomía de sistemas de detección de intrusiones". Redes informáticas . 31 (8): 805–822. doi :10.1016/S1389-1286(98)00017-6.
4. Ahmad, Zeeshan; Shahid Khan, Adnan; Wai Shiang, Cheah; Abdullah, Johari; Ahmad, Farhan (enero de 2021). "Sistema de detección de intrusiones en la red: un estudio sistemático de enfoques de aprendizaje automático y aprendizaje profundo". Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN  2161-3915.
5. Vacca, John. Manual de seguridad informática y de la información . Morgan Kauffman, 2013, págs. 494-495
6. Liu, Ming; Xue, Zhi; Xu, Xianghua; Zhong, Changmin; Chen, Jinjun (19 de noviembre de 2018). "Sistema de detección de intrusiones basado en host con llamadas al sistema: revisión y tendencias futuras". ACM Computing Surveys . 51 (5): 98:1–98:36. doi :10.1145/3214304. ISSN  0360-0300.
7. Cox, Kerry; Gerg, Christopher (2004). Gestión de la seguridad con herramientas Snort e IDS. Serie O'Reilly. O'Reilly Media, Inc. p. 3. ISBN 978-0-596-00661-7.
8. Marsan, Carolyn Duffy (6 de julio de 2009), "Los 10 errores más tontos que cometen los administradores de red", InfoWorld , IDG Network , consultado el 31 de julio de 2011

Enlaces externos

• Deep Security: un HIDS comercial multiplataforma
• Lacework HIDS: un HIDS comercial para implementaciones en la nube