Kategorien: Alle - intrusión - aislamiento - análisis - prevención

von Elías Aguilar Vor 6 Jahren

148

Mapa 2 - Mecanismos de proteccion

Los mecanismos de protección en ciberseguridad incluyen varias estrategias como los sistemas de decepción, que registran y analizan las acciones de los atacantes para aprender de ellas en lugar de neutralizarlas directamente.

Mapa 2 - Mecanismos de proteccion

Mapa 2 - Mecanismos de proteccion

Sistemas de decepción: en vez de neutralizar las acciones de los atacantes, utilizar técnicas de monitorizacion para registrar y analizar estas acciones, tratando de aprender de los atacantes.

3. Redes de decepción: se deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de producción.
2. Celdas de aislamiento: se pueden utilizar para comprender mejor los métodos utilizados por los intrusos.
1. Equipos de decepción: son también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes.

Detección de ataques distribuidos: identificación de ataques distribuidos o coordinados

2. Análisis descentralizado: la recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada.
b. Análisis descentralizado mediante paso de mensajes: este nuevo esquema trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones de monitorizacion dedicadas, una serie de elementos de control encargados de realizar operaciones similares de forma descentralizada.
a. Análisis descentralizado mediante código civil: las propuestas basadas en código móvil para realizar una detección de ataques distribuidos utilizan el paradigma de agentes software para mover los motores de detección por la red que hay que vigilar.
1. Esquema tradicionales: las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados

Escaners de vulnerabilidades: son un conjunto de aplicaciones que nos permitirán realizar pruebas o test de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante.

2. Escaners basados en red: a. Prueba por explotación. b. Métodos de inferencia.
1. Escaners basados en maquina

Sistemas de detección de intrusos: la detección de ataques e intrusiones parte de la idea que un atacante es capaz de violar nuestra política de seguridad

6. Elementos de almacenamiento: el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento
1. Unidades de respuesta basadas en equipo. 2. Unidades de respuesta basadas en red.
5. Unidades de respuesta: se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión.
1. Esquema de detección basado en usos indebidos: a. Analizadores basados en reconocimiento de patrones. b. Analizadores basados en transiciones de estados. 2. Esquema de detección basado en anomalías
4. Procesadores de eventos: también conocidos como analizadores, conforman el núcleo central del sistema de detección.
1. Elección de Sensores: a. Sensores basados en equipo y en aplicación. b. Sensores basados en red. 2. Instalación de sensores
3. Recolectores de información: es también conocido como un sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.
2. Arquitectura general de un sistema de detección de intrusiones: en todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos: 1. Precisión 2. Eficiencia 3. Rendimiento 4. Escalabilidad 5. Tolerancia en fallos
1. Antecedentes de los sistemas de detección de intrusos: son una evolución directa de los primeros sistemas de auditorias.
a. Primeros sistemas para la detección de ataques en tiempo real: desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de detección de intrusos en tiempo real. b. Sistemas de detección de intrusos actuales: el primer paso fue la fusión de los sistemas de detección basados en la monitorizacion del sistema operativo.

Necesidad de Mecanismos adicionales en la prevención y protección

A continuación se describen las posibles acciones de un ataque, la intrusión que el atacante intentara llevar a cabo pasara por la siguientes cuatro fases:
1. Fase de vigilancia: el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar. 2. Fase de explotación de servicio: describe la actividad que permitirá al atacante hacerse con privilegios de administrador. 3. Fase de ocultación de huellas: se realizara toda aquella actividad ejecutada por el atacante. 4. Fase de extracción de información: el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes

Prevención de intrusos: son el resultado de unir la capacidad de bloqueo de los mecanismos de prevención, con las capacidades de análisis y monitoritacion de los sistemas de detección de intrusos.

4. Conmutadores híbridos: sera aquel dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjuntos de reglas.
3. Sistemas cortafuegos a nivel de aplicación: los sistemas cortafuegos a nivel de aplicación, al igual que los conmutadores de nivel siete.
2. Conmutadores de nivel siete: aunque los conmutadores han sido tradicionalmente dispositivos de nivel de red, la creciente necesidad de trabajar grandes anchos de banda.
1. Sistemas de detección en linea: la mayor parte de los productos y dispositivos existentes para la monitorizacion y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados.