Siguiente: Conclusiones Arriba: Sistemas de Detección de Intrusiones Previo: Necesidades, líneas de trabajo
9.2.1 Deficiencias y necesidades
9.2.1.6 Detección de anomalías
9.2.2 Correlación, composición
Capítulo 9
Futuro
"Me
interesa el futuro porque es el sitio donde
voy a pasar el resto de mi vida."
Woody Allen
Especular sobre el futuro de una tecnología relativamente joven y dinámica como es el caso de los Sistemas de Detección de Intrusiones es una tarea arriesgada. En este capítulo se reflexionará sobre el posible camino que seguirán estos sistemas, teniendo en cuenta los avances tecnológicos realizados hasta ahora, las necesidades más importantes, y las principales líneas de desarrollo existentes.
9.1 Trayectoria recorrida
Las primeras investigaciones relativas a la detección de intrusiones se remontan a principios de los años ochenta. Por aquella época, los únicos estudios realizados sobre el tema se referían a la detección basada en máquina. A partir de los años noventa, y tras el creciente uso de las redes informáticas, se desarrollaron los primeros detectores basados en red, que eran poco más que rastreadores de tráfico de red. Con el paso del tiempo, los detectores de red han ido adquiriendo más importancia, hasta el punto de ser más utilizados que los de "host".
El desarrollo de la tecnología ha ayudado en cierta medida a estos sistemas, haciendo posible la aparición de detectores de intrusiones en tiempo real, y capacidad de actualizar las bases de datos de ataques nada más publicarse nuevos patrones.
Actualmente existe la posibilidad de implementar un IDS distribuido, con un servidor central que recoge información de varios agentes situados en puntos estratégicos de la infraestructura de red.
Por otra parte, se están empezando a combinar técnicas de cortafuegos e IDS, dando lugar a productos como los Sistemas de Prevención de Intrusiones (IPS), capaces de impedir la evolución de un ataque antes de que ocurra. Estos sistemas son considerados por muchos expertos en seguridad como la siguiente generación de los IDSs.
Todos estos acontecimientos no hacen más que demostrar que los IDSs juegan un papel cada vez más relevante en la defensa de una infraestructura informática.
9.2 Perspectivas de futuro
A pesar de todos los avances realizados, estos sistemas no tienen el nivel de madurez deseado. La mayoría comparte una serie de aspectos pendientes de ser mejorados.
9.2.1 Deficiencias y necesidades
Los aspectos de la industria de los IDSs que más trabajo necesitan pueden arrojar algo de luz sobre el probable futuro de estos sistemas. A continuación se reflexiona sobre el futuro de los IDSs haciendo un recorrido a través de sus principales puntos débiles y necesidades.
9.2.1.1 Falsos positivos
Es imposible tratar sobre las deficiencias de los IDSs y no mencionar el problema relativo a los falsos positivos. Los falsos positivos (errores de Tipo I) son aquellas alarmas que emite el detector cuando identifica erróneamente un ataque o intrusión. El problema llega cuando el número de este tipo de alarmas es inaceptablemente alto. Este inconveniente se agrava con los falsos negativos (errores de Tipo II), en los que el detector no reconoce un ataque cuando ha ocurrido.
Aunque existen numerosas soluciones que abordan el problema, aún queda mucho trabajo por hacer en este aspecto.
Es muy probable que este problema se vaya solucionando en el futuro de forma similar a como han hecho los desarrolladores de antivirus. Durante sus comienzos, los detectores de virus también tenían un importante número de falsas alarmas, y no identificaban todos los virus conocidos. En los últimos años, los productos de antivirus han mejorado sensiblemente, trabajando de forma desatendida, y actualizando automáticamente sus bases datos de virus.
9.2.1.1.1 Heurística
Actualmente es relativamente fácil sortear un detector basado en usos indebidos. Este tipo de detectores contiene una base de datos con patrones de ataques que comparan con la actividad que analizan. Un ataque conocido, modificado ligeramente, puede ser totalmente indetectable por un detector de este tipo.
La adopción de técnicas heurísticas, tal como han hecho los fabricantes de antivirus, es sólo una de las medidas que utilizarán los IDSs en el futuro para corregir esta situación.
9.2.1.2 Estandarización
Los productos de detección de intrusiones actuales no utilizan ningún estándar en diversos aspectos de su metodología. La adopción de estándares no sólo solucionaría problemas de compatibilidad y entendimiento entre los productos existentes; sino que permitiría a las empresas que se dedican al desarrollo de estos productos afrontar de forma conjunta un problema común.
Algunos de los aspectos en los que sería aplicable un estándar son: un protocolo de comunicación, un lenguaje genérico para la detección de alarmas, o una definición de un conjunto de reglas para personalizar el motor de detección.
Hay algunos organismos que han dedicado importantes esfuerzos en el ámbito de la estandarización y normalización de los IDSs. El proyecto CIDF [1] y el grupo IDWG de IETF [2] son tan sólo dos ejemplos de esto. Desgraciadamente, muchos de los fabricantes de detectores de intrusiones prefieren patentar sus propias soluciones antes que adoptar un estándar.
No cabe duda de que el uso de estándares es un paso fundamental en la mejora global de la detección de intrusiones, aunque el éxito de este factor dependa de su adopción por parte de los desarrolladores de estos sistemas.
9.2.1.3 Encriptación
Actualmente es difícil imaginarse un entorno seguro sin el uso de comunicaciones cifradas. Compartir el mismo medio físico para establecer diferentes comunicaciones obliga a utilizar algún tipo de algoritmo de cifrado para proteger la información. Esto es lo que hace en las VPNs o Redes Privadas Virtuales.
Aunque la encriptación en las comunicaciones es un obstáculo para el trabajo de los NIDS (IDS de red), hay formas de solventarlo. Una de las más recurridas consiste en la implantación de agentes en las máquinas que participan en la comunicación.
Por otra parte, será imprescindible el uso de técnicas de encriptación para establecer enlaces seguros entre los elementos de un IDS, como por ejemplo, entre los sensores y el sistema central. El avance y popularidad de los mecanismos de cifrado es imparable, y los IDSs que vendrán deberán estar preparados para esta situación.
9.2.1.4 Nuevos protocolos
Un aspecto a tener en cuenta por parte de los IDSs consiste en el reconocimiento y soporte de protocolos de nueva aparición. Uno de los ejemplos más claros de esta situación es el Protocolo Internet versión 6 (IPv6), sucesor del actual IPv4 utilizado ampliamente en Internet.
Si un IDS no es capaz de reconocer un nuevo protocolo, sus capacidades se verían anuladas ante un atacante que lo utilizara en sus actividades. En el caso de IPv6 esto es especialmente sensible, ya que sus características le permiten construir túneles sobre redes IPv4.
Es muy probable que los fabricantes de detectores de intrusiones tengan en cuenta esta característica en sus futuros productos.
9.2.1.5 Escalabilidad
Los primeros productos de detección sólo tenían que monitorizar los datos originados por una máquina, y posteriormente, el tráfico generado en una pequeña red local. Con el paso del tiempo las organizaciones se han ido haciendo cada vez mayores, así como su tráfico de red. Esto ha hecho que los desarrolladores tengan cada vez más en cuenta factores como la escalabilidad a la hora de diseñar sus detectores de intrusiones.
El número de alarmas generadas, así como el aumento de las necesidades de recursos son dos problemas derivados del crecimiento de los IDSs, que deberán ser tenidos en cuenta por los IDSs en un futuro inmediato.
9.2.1.5.1 Sobrecarga de alarmas
Cuando se despliega un IDS en una gran corporación puede llegar a generar miles de alarmas al día. Gestionarlas puede convertirse en una labor imposible si no se disponen de los medios adecuados. Aunque hay algunas soluciones al respecto, este aspecto aún necesita mejorarse.
9.2.1.5.2 Recursos
Con el aumento del tráfico de red también crecen las necesidades de recursos de sistema por parte de los detectores. Una de las soluciones que se están empezando a aplicar consiste en la fabricación de soluciones específicas basadas en hardware, que alivien en cierto modo la carga de proceso a la que están sometidos los sistemas de detección. Probablemente esta opción será bastante común en muchos de los productos que están por venir.
9.2.1.6 Detección de anomalías
La gran mayoría de los productos de detección de intrusiones han utilizado la detección de usos indebidos (comparación de patrones de ataques). Sin embargo, la detección de anomalías (mediante la creación y comparación de perfiles estadísticos de actividad), siempre ha recibido más aceptación en círculos académicos que prácticos o comerciales, salvo raras excepciones.
9.2.1.6.1 "Data mining"
Una de las técnicas más prometedoras en el ámbito de la detección de anomalías se denomina "data mining" (minería de datos) [3], descrita por muchos expertos como la sucesora de la estadística clásica.
Esta técnica permite elaborar sus propios modelos estadísticos de forma automática a partir de los datos analizados. Por el contrario, la estadística clásica hace uso de modelos conocidos, a veces no muy adecuados para aplicarlos a algunos comportamientos de sistema. La minería de datos identifica patrones de actividad sistema que puedan describir pautas de conducta. Estos patrones son luego aplicados por los motores de detección para encontrar signos de intrusiones.
Otra de las características de este método es que no sólo es aplicable a la detección de anomalías sino también a la de usos indebidos.
9.2.1.6.2 Otros algoritmos
Numerosas técnicas han sido aplicadas ya con espectaculares resultados en entornos de desarrollo. Algoritmos de inteligencia artificial, neuronales, genéticos, o los basados en el sistema inmune biológico, son tan sólo algunos de los métodos practicados.
Las ilimitadas posibilidades que ofrece la detección de anomalías la sitúan, sin lugar a dudas en un lugar muy importante en el prometedor porvenir de la industria de la detección de intrusiones.
9.2.2 Correlación, composición
Estos aspectos merecen un trato especial, de forma separada a los ya mencionados. A medida que pasa el tiempo, la correlación de los datos obtenidos de las fuentes de información para componer un nivel superior de abstracción, se confirma como uno de los elementos más relevantes en el futuro de los IDSs. [4]
El hecho de que los IDSs recojan datos de diversas fuentes es un concepto que se va a desarrollar hasta el punto de que en el futuro no se hablará de HIDS o NIDS. Ni siquiera será significativa la aparición de productos híbridos que combinen ambos tipos, como algunos ya existentes, tales como Prelude, de Yoann Vandoorselaere [5] o Dragon Intrusion Detection System, de Enterasys [6].
En la infraestructura típica de una organización coexisten diversos elementos que pueden aportar información sobre la actividad de un atacante o intruso. Algunos de estos dispositivos pueden ser: cortafuegos, "routers", servidores de correo [7], HTTP, DNS, agentes instalados en estaciones de trabajo, etc.
Figura 9‑1 - Fuentes de información comunes
En el futuro los IDSs serán capaces de relacionar la información obtenida de gran parte de los elementos de una infraestructura para obtener una visión global de las actividades que se llevan a cabo.
El crecimiento de las comunicaciones cifradas y los entornos conmutados, hacen cada vez es más común la implementación de agentes, o sistemas de defensa en las máquinas. Aunque hay soluciones parciales a ambos problemas, los IDSs pretenden llegar más lejos con la correlación.
La instalación de dispositivos de monitorización y análisis en cada máquina permite concebir la idea de un sistema central, encargado básicamente de tareas de gestión y correlación de los datos recibidos a través de sus agentes. Esta forma de trabajo implica un enfoque totalmente distribuido en el diseño de los detectores.
Huelga decir que el esfuerzo requerido para combinar y obtener resultados eficaces de diversas fuentes de información es enorme. Hay que tener en cuenta numerosos factores como formatos de registro, sincronización, modelos de conducta, etc. Muchos de los algoritmos utilizados en la detección de anomalías tendrán un papel importante en el desarrollo de este aspecto. La adopción de algún estándar relativo a los protocolos utilizados, o el lenguaje de alarmas ayudará en gran medida a alcanzar este objetivo.
Aunque existen numerosas y variadas soluciones en la industria de la detección de intrusiones, lo más probable es que en un futuro a largo plazo estos sistemas reúnan en un sólo dispositivo todas las características de los elementos de seguridad actuales. Este elemento podría incluso coordinar la labor de diferentes IDSs. Desde dicho dispositivo, el administrador será gestionar de forma global y precisa la seguridad de su red. Por otra parte, una serie de elementos distribuidos colaborarán con el sistema central, monitorizando la actividad, realizando tareas específicas, y enviando sus resultados.
9.3 Referencias
[1] Common Intrusion Detection Framework (CIDF). [en línea]. Actualizado en septiembre 1999 [consultado en mayo, 2003]. Disponible en <http://www.isi.edu/gost/cidf/>.
[2] Intrusion Detection Exchange Format (idwg). Internet Engineering Task Force. [en línea]. Julio, 1990 [consultado en abril, 2003]. Disponible en <http://www.ietf.org/html.charters/idwg-charter.html>.
[3] Goeldenitz, Thomas. SANS. IDS – Today and Tomorrow. [en línea] 22 de enero de 2002 [consultado en abril, 2003]. Disponible en <https://www.sans.org/rr/intrusion/today.php>.
[4] Tanase, Matthew. SecurityFocus. The Future of IDS. [en línea]. Última actualización el 4 de diciembre de 2001 [consultado en abril, 2003]. Disponible en <http://www.securityfocus.com/infocus/1518>.
[5] Vandoorselaere, Yoann. Prelude Hybrid IDS. [en línea]. 1998 [consultado en abril, 2003]. Disponible en <http://prelude-ids.org/>.
[6] Enterasys. Dragon Intrusion Detection System. [en línea]. Fecha no disponible [consultado en abril, 2003]. Disponible en <http://www.enterasys.com/products/ids/>.
[7] McAnderson, Brenda y Paul Ramstedt. Intrusion Detection Technology: Today and Tomorrow. [en línea] 18 de noviembre de 1999 [consultado en abril, 2003]. Disponible en <http://www.first.org/events/progconf/2000/D3-03.pdf>.
Siguiente: Conclusiones Arriba: Sistemas de Detección de Intrusiones Previo: Necesidades, líneas de trabajo
Sistemas de
Detección de Intrusiones, versión 1.01. Julio,
2003.
Diego González Gómez