¿Cómo utilizar los sistemas de detección de intrusos para cumplir con la norma ISO 27001?
Norma ISO 27001
Las redes hacen posible el trabajo colaborativo. Sin ellas, no existiría negocio a distancia, tienen un papel crítico que llama la atención, y hace que las redes sean un blanco para los malhechores. Por ello se coloca en las principales prioridades del personal de seguridad.
En otras ocasiones hemos hablado sobre los controles de red basados en la norma ISO 27001, ya que hemos hablado de servidores de seguridad y desagregación de redes. Si bien estas opciones mejoran la seguridad de la red, generan un efecto crítico: los controles relacionados con la frontera, que son incapaces de trabajar sobre los acontecimientos que suceden dentro de las zonas de protección.
Los equipos de seguridad ofrecen otras alternativas para cubrir dicha situación. Vamos a presentar cierta información sobre los sistemas y las redes trampa de detección de intrusos en la red, en el caso particular de los henypots, y como apoya la norma ISO 27001 a identificar todos los continuos ataques que suceden dentro de la red de una empresa.
Red de Sistemas de Detección de Intrusos
La Red de Sistemas de Detección de Intrusos (NIDS) son dispositivos o aplicativos de software que supervisan las actividades que realizan las redes, buscando comportamientos maliciosos o violaciones de la política de seguridad, además informan sobre todos los resultados de una estación de administración.
Se diferencia de un servidor de seguridad, ya que el servidor de seguridad se ve exteriormente y utiliza ciertas reglas que limitan el acceso a las redes internas, la prevención de intrusiones, el NIDS mira los que pueden significar los patrones de una intrusión o violación que ha tenido lugar y señala una alarma, una reducción del tiempo de reacción.
Para mejorar la eficiencia del NIDS, una empresa debe tener en cuenta que el NIDS se colocará en la red, y debe conocer todos los métodos de evaluación de tráfico y los modos en los que se utilizarán.
La norma ISO 27001 es una gran aliada en este tema.
La elección de un lugar para el despliegue de un NIDS
Un NIDS debe ser colocado en un punto donde puede monitorizar el tráfico hacia y desde todos los dispositivos de la red. Algunos lugares sugeridos son los cortafuegos y servidores críticos.
Se debe desplegar un NIDS para identificar todas las intrusiones más comunes. En cuanto a los servidores, un NIDS colocado allí puede ofrecer la ventaja de los patrones de tráfico específicos para establecer sus configuraciones, y para detectar incluso las intrusiones más discretos.
¿Cómo detecta un NIDS una intrusión en la red?
Existen dos métodos que un NIDS puede utilizar para la identificación de intrusos:
- Biblioteca de ataques conocidos: firmas de ataques conocidos se utilizan por el NIDS para analizar el tráfico de la red. Esta es la forma más rápida de preparar un NIDS para la operación, pero no funcionará con ataques para los cuales no tiene una firma. Este método debe ser considerado cuando el tráfico a analizar es grande o tiene una gran variación.
- Tráfico de la muestra: hablamos de las muestras de lo que se considera normal sobre el tráfico utilizado por el NIDS para analizar la red. De esta manera toma más tiempo para preparar el NIDS para la operación, ya que primero tiene que aprender cómo fluye normalmente el tráfico de la red, pero una vez que se hace esto, el NIDS es capaz de identificar la menor señal de una intrusión. Debe tenerse en cuenta para las redes sensibles o aquellos con menos variación del tráfico.
Se debe tener en cuenta cuando se lleva a cabo el análisis de tráfico, que puede ser en línea, en tiempo real, o fuera de línea, cuando el NIDS trabaja con los datos almacenados. Dado que la operación NIDS puede crear un cuello de botella que puede afectar a todos los servicios sensibles, estas dos opciones deben ser cuidadosamente evaluadas.
Redes trampa
Es un hecho que la seguridad no se pueda proteger en todo momento. Por lo tanto, ¿qué pasa con el establecimiento de un activo específico que sea invadido? Por extraño que parezca, este es el concepto que tiene un sistema trampa, que puede ayudar mucho en la detección de ataques, la comprensión de cómo se lleva a cabo un ataque, y la elaboración de las contramedidas adecuadas. Dado que en este caso nuestro activo es una red, el término más apropiado es red trampa.
Por lo tanto, una red trampa es una red que parece ser una parte legítima de la infraestructura de la empresa, que contiene lo que parece ser información valiosa, pero que en realidad no tiene valor de negocio y se encuentra aislado y controlado.
¿Cómo se pueden utilizar las redes trampa?
Se pueden utilizar todas las redes trampa para dos propósitos:
- Primera línea de detección: se configuran los parámetros atractivos, una red trampa puede parecer ser un objetivo tentador para un atacante, llamando su atención por parte de los valiosos activos reales, mientras suena una alarma dentro del equipo de seguridad.
- Recopilación de información: las redes trampa proporcionan más recursos para ser explorados y pueden ser utilizados para monitorear las acciones que realiza un ataque durante la identificación de los métodos, las herramientas y las técnicas, que puede proporcionar cierto conocimiento utilizado para actualizar las capacidades de defensa de los controles desplegados para proteger la red real.
Todos estos ataque se pueden controlar si implantamos en nuestra organización la norma ISO 27001, nos aportará directrices que aumentarán la seguridad de nuestros datos y de los de nuestros clientes.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.