La historia y evolución de detección de intrusiones.docx

La historia y evolución de detección de intrusiones " El mundo de la información es verdaderamente electrónica - que no hay vuelta atrás. " - Winn Schwartau Durante los últimos cinco años, la seguridad de la red informática se ha convertido en la corriente principal en la mayor parte de la vida de todos . Hoy en día , la mayoría m ayoría de los debates sobre la seguridad informática se centra en las herramientas o té cnicas utilizadas en la protección y defensa de las redes . El objetivo de este trabajo es examinar los orígenes de la detección, análisis y presentación de informes de actividad maliciosa , donde está hoy y donde parece dirigirse en el futuro. Algunas de las muchas técnicas y herramientas que se utilizan actualmente en la defensa de la red se estudiarán también. Hay una gran variedad de herramientas que proporcionan un cierto nivel de comodidad con riesgos aceptables utilizados en la defensa y la vigilancia de las redes informáticas . Defensa a Fondo es un término que abarca la formación integral analista , hardware desplegado en posiciones estratégicas y una fuerte política de seguridad nece sarias para el logro de este obje tivo. Todos los días, tenemos las herramientas a nuestra disposición para alcanzar este objetivo. La agregación de los datos proviene de routers , el propio anfitrión, cortafuegos, antivirus y una herramienta estrictamente diseñada para atrapar ataques conocidos ; un sistema de detección de intrusiones ( IDS) . ¿Qué es la detección de intrusiones ? Una definición simple: Se trata de los intentos activos implacables en de scubrir o detectar la presencia de actividades intrusivas . Detección de Intrusiones (ID ) en lo relacionado con las computadoras y la infraestructura de re d abarca un ámbito mucho más amplio . Se refiere a todos los procesos que se utilizan en el descubrimiento de los usos no autorizados de dispositivos de red o computadoras. Esto se logra a través de software diseñado específicamente con un único propósito de detectar la actividad anormal o inusual . El principio Un documento USAF publicado en octubre de 1972 escrito por James P. Anderson esbozó el hecho de que la USAF había " vuelto cada vez más conscientes de los problemas de seguridad informática. Este problema se sintió prácticamente en todos los aspectos de las operaciones y la administración de la USAF " . Durante ese período de tiempo , la USAF tenía la ingente tarea de proporcionar compartida utilizada de sus sistemas informáticos , que contenían diversos niveles de clasificación en un entorno sin necesidad de conocer con una base de usuarios de la celebración de los distintos niveles de autorización de seguridad . Hace treinta años , esto creó un g rave problema que aún está con nosotros hoy. El problema sigue siendo : ¿Cómo asegurar c on seguridad dominios clasificación separados en la misma red sin seguridad comprometer 1 ? En 1980 , James P. Anderson publicó un estudio delineando las formas de mejorar la auditoría de la seguridad informática y la vigilancia en las instalaciones del cliente . La idea original detrás de ID

automatizada se acredita a menudo con él por su papel en " Cómo utilizar los archivos de auditoría contable para detectar © SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 © SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Información. Autor retiene todos los derechos. Chico Bruneau - GSEC Version 1.2f acceso no autorizado " . Este estudio ID allanó e l camino como una forma de detección de m al uso de la unidad central systems.2 La primera tarea consistió en definir qué amenazas existía. Antes de diseñar un IDS , fue necesario entender los tipos de amenazas y ataques que podrían ser montados contra los sistemas informáticos y cómo reconocido en un conjunto de datos de auditoría. De hecho, él se re fiere probablemente a la necesidad de un plan de evaluación de riesgos para comprender la amenaza ( cuáles son los riesgos o vulnerabilidades , lo que los ataques podrían ser o los medios de penetraciones ) siguiendo así con la creación de una política de seguridad para proteger el sistemas en el lugar . Entre 1984 y 1986 , Dorothy Denning y Peter Neumann investigó y desarrolló el primer modelo de un IDS en tiempo real. Este prototipo fue nombrado el Sistema Experto de Detección de Intrusiones ( IDES ) . Esta IDES fue inicialmente un sistema experto basado en re glas entrenados para detectar actividad maliciosa conocida. Este mismo sistema se ha perfecc ionado y mejorado para formar lo que se conoce hoy en día como el Sistema de la próxima generación de detección de intrusiones de Expertos ( NIDES ) 0,3 El informe publicado por James P. Anderson y el trabajo sobre los IDES fue el comienzo de muchas de las investigaciones sobre IDS lo largo de los años 1980 y 1990 . Durante este período, el gobierno de EE.UU. financió la mayor parte de esta investigación. Proyectos como Discovery , Almiar, Multics Intrusion Detection System y Alerta ( MIDAS ), Director de Auditoría de red y de intrusiones Reporter ( NADIR ) fueron desarrollados para detect ar intrusiones . hoy Para comprender mejor los términos utilizados en la comunidad de usuarios y la investigación de identificación, algunos de los términos más comúnmente utilizados son : Basado en host : Los datos de un solo host se usa para detectar signos de intrusión como los paquetes de ingresar o salir del host. Basados en la red : Los datos de una red es analizado en contra de una base de datos y lo marca a aquellos que parecen sospechosos . Los datos de auditoría de uno o var ios anfitriones pueden ser utilizados también para detectar signos de intrusiones .

Modelo de detección de anomalías : El IDS tiene conocimiento de un comportamiento normal por lo que busca para el comportamiento anómalo o desviaciones de la línea de base establecida . Mientras más evidente desventaja de la detección de anomalías es su alto falso positivo, sí ofrece detecciones de intrusiones desconocidas y nuevas hazañas. Modelo de detección de mal uso : El IDS tiene conocimiento de un comportamiento sospechoso y la actividad de las búsquedas que viole las políticas establecidas. También significa buscar el comportamiento malicioso o no deseado conocido. De hecho , sus principales características son su eficiencia y comparativamente baja tasa de falsas alarmas . © SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 © SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Información. Autor retiene todos los derechos. Chico Bruneau - GSEC Version 1 .2f En los últimos años , el campo de ID ha crecido considerablemente y por lo tanto un gran número de IDS se han desarrollado para abordar needs4 específica . Los sistemas de identificación iniciales fueron una vez las herramientas de detección de anomalías , pero las herramientas de hoy en día , el uso indebido de detección dominan el mercado . Con un número cada vez más creciente de sistemas informáticos conectados a las redes , ID ha convertido en una necesidad . A mediados de 1990 , los productos comerciales surgieron para las masas. Dos de los IDS más populares de mediados de la década de 1990 eran NetRanger de Wheelgroup y RealSecure de Internet Security Systems . Estas dos empresas comenzó con IDS de red -base. Wheelgroup se formó en octubre de 1995 para la comercialización de un producto de se guridad inicialmente un prototipo por la Fuerza Aérea de los EE.UU. entonces llamado NetRanger . Este producto " analiza el tráfico para la " firma de un mal uso " , proporcionando alarma en tiempo real y los detalles de los ataques furtivos que pueden plagar una red " 0.5 En febrero de 1998 , Wheelgroup fue adquirida por Cisco para eventualmente convertirse en una parte integral de la arquitectura de seguridad de Cisco . Internet Security Systems, Inc. (ISS ) fue fundada en abril de 1994 por Thomas Noonan y Christopher Klauss , después que el Sr. K lauss inventó y lanzó la primera versión de la Scanner.6 Internet El 9 de diciembre de 1996, ISS anunció el lanzamiento de una herramienta para aumentar seguridad de la red con el reconocimiento de ataques en tiempo real llamado RealSecure . En el 19 de agosto 1997 , se anunció el primer comercial de lanzamiento de sus I DS llamado RealSecure 1.0 para Windows NT 4.0 un nuevo avance comercial. Otro punto a considerar es lo más comercialmente disponibles sistemas están basados en el conocimiento , lo que significa Firmas de ataques conocidos contra los cambios en los sistemas o flujos de paquetes en una red. Sin e mbargo, sus principales debilidades son , a menudo se sienten impotentes frente a nuevos ataques , por lo que deben actualizarse continuamente con nuevos conocimientos para nuevas firmas de ataques . A pesar de estos falsos positivos son frecuentes

con IDS basados en la conducta , por lo que es su capacidad para det ectar un ataque previamente no declarada . Para ayudar a resolver los problemas basados en el conocimiento , se han celebrado talleres cada año durante los últimos cuatro años para compartir información relacionada con ID.7 Los t emas de investigación son muy variados todos los años y cubren una amplia gama de temas tales c omo la lección aprendida , IDS y Derecho , Ataques de modelado , dete cción de anomalías , etc Estos talleres principal objetivo es encontrar soluciones nuevas a problemas nuevos y difíciles. Los problemas , la comunidad de investigadores se enfrentan ahora son las r edes de alta velocidad y de conmutación. Hoy en día, más vendedores están anunciando que pueden procesar a velocidad gigabit . Para nombrar unos pocos, Internet Security Systems (I SS ) , NetworkICE y Intrusion.com anuncian que puedan analizar y alertar sobre el t ráfico gigabit . Como las redes se expanden y se vuelven más rápidos , la red IDS puede perder popularidad . Para abordar este problema , los vendedores se han dirigido a la acogida. ¿Cómo puede el anfitrión será parte de la ecuación y proporcionar datos cuando se sondea directamente para obtener información ? La solución fue instalar IDS basado en host . Las ventajas de este tipo de identificación son: análisis de la auditoría o de registro de datos , en tiempo real y procesamiento distribuido. Hay muchas formas, tales como ID basado en host, las envolturas TCP , Tripwire , y una herramienta gratuita como Snort . © SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 © SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Información. Autor retiene todos los derechos. Chico Bruneau - GSEC Version 1.2f Snort se describe como un sistema de identificación de peso ligero , con múltiples plataformas . Este sistema de identificación se puede utilizar en dos modos : host -based y basado en red . Sin embargo, cuando primero lanzado por Marty Roesch el 2 2 de diciembre de 1998, que estaba disponible sólo para sistemas UNIX y tenía capacidades limitadas . Mientras que ' Snort como un sistema de identificación realmente despegó durante Y2K con el lanzamiento de la versión 1.5 en diciembre de 1999 , era capaz de realizar análisis de paquetes en tiempo real y registro. Durante este período , el uso incluye la presentación de informes de la actividad anormal de células GIAC de SANS . Este gran éxito se llevó a ser portado a Windows , por Michael Davis y publicado por primera vez el 6 de junio de 2000. El rápido incremento en el ancho de banda de red de megabits de gigabits por segundo es lo que hace cada vez más difícil en la realización de análisis para la detección de ataques a la red de una manera oportuna y precisa. Uno de los retos principales ingenieros de rede s se enfrentan hoy en día es que la mayoría de las organizaciones están utilizando interruptores y completo a la red Ethernet duplex , lo que

complica la tarea de despliegue de red de sistemas de detección de intrusos ( NIDS ) . Solución de Cisco fue la invención y la liberación de una cuchilla , que se ajusta en su interruptor y informes Catalizador a su Administrador de IDS de Cisco Secure . Esta hoja puede no ser la única solución para los problemas tanto de conmutación y velocidad Gigabit . El problema de la re ducción de datos y la minería ? ¿Cómo podemos hacer fre nte a este desafío ? Otro problema que surgió durante los últimos dos años es cómo hacer frente a (DoS ) ataque de denegación de servicio contra las defensas del perímetro ? Con las capacidades de los avances de IDS , los atacantes están encontrando nuevas maneras de detectar y eludir o desactivando los sistemas de identificación antes de intentar penetrar en objetivos más valiosos (por ejemplo, web o DNS del servidor ) . Un ejemplo sencillo sería una sonda dirigida al servicio DNS TCP contra un bloque de clase B . El resultado se ría el IDS alarma a la consola en cada sondas portuarias , generando más de 65.000 alarmas. Usted puede ver por qué se abrumar a la consola , así como el analista. Nos ocuparemos de esto más adelante en la consolidación de datos . El objetivo es frustrar a los atacante s mediante el uso de una arquitectura de IDS invisible a los medios normales de la cartografía de una red atacantes . La forma más común de llevar a cabo esta "invisibilidad " es mediante la restricción de la comunicación permitida entre los diferentes componentes de seguridad en una red privada. ¿Qué hay en el almacén para el futuro? Ahora todo el mundo tiene dudas de que " los sistemas de detección de intrusos se han convertido en un componente esencial de la seguridad informática para detec tar ataques que pueden ocurrir a pesar de las mejores medidas preventivas . " 8 Implementación de las herramientas adecuadas para defender y proteger un perímetr o requiere horas de trabajo , la paciencia y el conocimiento . La seguridad es más compleja que una sola organización , procesos de negocio, o bien ver o agenda de cualquier persona . La comunidad de investigación IDS está desarrollando mejores técnicas de recogida y análisis de datos con el fin de manejar las intrusiones en grandes entornos distribuidos. A fin de tener © SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 © SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Información. Autor retiene todos los derechos. Chico Bruneau - GSEC Version 1.2f ventaja de este trabajo, los sistemas de identificación deben ser capaces de adaptarse rápidamente a los nuevos componentes mejorados, y los cambios en el m edio ambiente. Después de muchos años en el campo de la seguridad , creo que hay un producto hoy o mañana va a resolver todas las necesidades de seguridad. Hay demasiadas variables a tomar en consideraciones en conocer todo lo relacionado con la seguridad. Es por eso que existen los equipos de seguridad como CERT /

especialización. Cada miembro ofrece sus propias fortalezas y experiencias para complementarse entre sí . Con nuevas intrusiones que aparecen cada día , se ha convertido en una carrera entre la mejora del sistema de detección de intrusos y atacantes de encontrar nuevas formas de llegar a los distintos sistemas desplegados en una red. Sin embargo, estos equipos de seguridad por lo ge neral enfrentan desafíos obvios . Organizaciones recogen enormes cantidades de datos en sus operaciones diarias. Esta gran cantidad de información es a menudo infrautilizados debido a razones económicas (capacidad débil o ninguna búsqueda de base de datos ) también , la falta de personal capacitado para interpretar correctamente los datos. Por lo tanto , con el fin de tamizar a través de gran cantidad de datos para descubrir pistas ocultas , la minería de datos (también conocida como D escubrimiento de Conocimiento en Bases de Datos ) se puede utilizar para diseccionar la información . La minería de datos ayuda a las relaciones reve ladoras o tendencias para responder preguntas específicas demasiado complejos para las herramientas de consulta y de información tradicionales. Los últimos años han visto un aumento dramático en la cantidad de información almacenada en formato electrónico. Se ha estimado que la cantidad de información en el mundo se duplica cada 20 meses y el tamaño y el número de bases de datos están aumentando aún más rápido . El mundo empresarial ha dado un poco de investigación y pruebas importantes mediante la creación de aplicaciones de bases de datos de descubrimiento de conocimiento diseñados para gestionar el crecimiento de los volúmenes de datos en línea. Un IDS , un router , un firewall o un servidor pueden generar montañas de datos con muy pocos medios para la fusión de los datos para extraer el centro y profundizar en el ataque. La pesadilla de un analista de seguridad que enfrentan todos los días , es la cantidad de datos falsos positivos recogidos por los sensores IDS . S er capaz de reconocer sondas bajos y lentos de reconocimiento o correlación de la información cuando se fusionaron entre sí. Por lo t anto , produciendo cantidad significativa de la inteligencia es muy importante . Herramientas como I ntellitactics ' Network Security Manager9 , se pueden utilizar para profundizar la información correcta. El enfoque Intellitactics ha tomado con respecto a la minería de datos y la manipulación de grandes volúmenes de información brinda todo y dejar que el Network Security Manager ( NSM ) haga todo el trabajo . NSM utiliza un enfoque de seis pasos : recolección y consolidación de datos ( proceso de la conciencia ) , se normalizan , clasifica los activos , dan prioridad ( la comprensión del proceso) y el análisis y respuesta ( proceso de respuesta adecuada ) . Tómese un momento para evaluar las capacidades del atacante en la recolección de inteligencia en la red protegida y defendida por usted. ¿Está su IDS dejando una huella que lo hace vulnerable a los de reconocimiento a través de un Movimiento amplio de puerto ? (es decir, e l atacante está investigando en un puerto definido por el fabricante , de fácil identificación del dispositivo).