ISO 27039 detalla la selección, implementación y operaciones de sistemas de prevención y detección de intrusiones (IDPS). Vamos a explorar lo que eso significa.
ISO/IEC 27039:2015 proporciona recomendaciones para ayudar a las organizaciones en la implementación de sistemas de detección y prevención de intrusiones (IDPS). ISO 27039 describe la selección, implementación y procesos de los IDPS. La norma también ofrece información de contexto para estas directrices. Detección y prevención de intrusiones son dos palabras amplias que definen las prácticas utilizadas para prevenir ataques y evitar nuevas amenazas.
La detección de intrusiones es una medida reactiva que detecta y mitiga las amenazas en curso mediante la detección de intrusiones. Se utiliza para:
La prevención de intrusiones es una medida de seguridad proactiva que utiliza un sistema de prevención de intrusiones para eliminar los ataques a los dispositivos. Eso incluye:
IDPS bien diseñados, implementados, configurados, controlados y operados, como:
La norma contiene orientación e instrucciones sobre la implementación de un IDPS.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
Las organizaciones no deberían simplemente saber qué, dónde y cómo se invadió su red, dispositivo o programa. También deben saber cuál es la vulnerabilidad abusada y qué precauciones o implementar tratamientos de riesgo efectivos para evitar futuros problemas.
Las organizaciones también pueden identificar y prevenir intrusiones cibernéticas. Este método Implica un examen del tráfico de la red y una auditoría. rastros de ataques conocidos o patrones únicos que generalmente implican intenciones maliciosas. A mediados de la década de 1990, las empresas comenzaron a utilizar sistemas de detección y prevención de intrusiones (IDPS) para satisfacer estas necesidades.
El uso general de IDPS continúa creciendo con una variedad más amplia de dispositivos IDPS disponibles para satisfacer un nivel cada vez mayor de requisitos organizacionales para una detección de intrusiones sofisticada.
Los sistemas de detección de intrusiones son en su mayoría sistemas automatizados que identifican los ataques e intrusiones de los piratas informáticos en una red o dispositivo y dan la alarma. Los sistemas de prevención de intrusiones llevan la automatización un paso más allá al reaccionar automáticamente a ciertos métodos de ataque identificados, como cerrar puertos de red específicos, a través de un firewall, para bloquear el tráfico de piratas informáticos identificados. Los desplazados internos se refieren a ambos tipos de esto.
Un sistema de detección de incidentes (IDS) es un programa de hardware o software que utiliza firmas de intrusión conocidas para identificar y analizar el tráfico de red entrante y saliente en busca de actividades sospechosas. Un IDS logra esto mediante:
Al detectar una violación de seguridad, un virus o un error de configuración, un IDS expulsará de la red al usuario infractor y enviará una advertencia al personal de seguridad.
A pesar de sus ventajas, un IDS tiene desventajas inherentes. Ya que utiliza firmas de intrusión establecidas para encontrar ataques. Las amenazas recién descubiertas o de día cero pueden pasar desapercibidas. Un IDS detecta sólo ataques activos, no asaltos entrantes. Se necesita un sistema de prevención de intrusiones para bloquearlos.
Un sistema de prevención de intrusiones (IPS) complementa una configuración de IDS al revisar proactivamente el tráfico entrante para evitar solicitudes maliciosas. Una configuración IPS estándar utiliza firewalls y filtrado de tráfico Soluciones para proteger aplicaciones..
Un IPS evita ataques al soltar paquetes maliciosos, bloquear las IP infractoras y alertar al personal de seguridad sobre los riesgos. Este dispositivo normalmente utiliza una base de datos de reconocimiento de firmas preexistente y puede diseñarse para detectar ataques basados en el tráfico e irregularidades de comportamiento.
Aunque bloquean eficazmente los vectores de ataque conocidos, algunos sistemas IPS tienen limitaciones. Estos suelen ser inducidos por una dependencia excesiva de leyes predefinidas, lo que los hace vulnerables a falsos positivos.
ISO publicó esta norma en 2015. ISO 27039 se publicó como reemplazo de ISO/IEC 18043:2006. En 2016, el corrigendum técnico revisó la descripción de la norma, restableciendo las palabras “y prevención”, que faltaban notablemente.
ISO/IEC 18043:2006 emitió directrices para una empresa que opta por proporcionar detección de intrusiones en su infraestructura de TI. Era un "cómo" para administradores y usuarios que querían:
ISO/IEC 18043:2006 proporcionó información que ayudó a promover la cooperación entre organizaciones que utilizan el IDS. La estructura facilitó que las organizaciones compartieran información sobre intrusiones que cruzan los límites organizacionales.
La norma ISO/IEC 18043:2006 proporciona:
Descarga tu guía gratuita
para optimizar su Infosec
Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
Ambos sistemas tienen ventajas e inconvenientes. ISO 27039 contiene información y orientación específicas para la implementación y aplicación exitosa de los IDPS para todas las organizaciones.
Aunque las unidades normalmente vinculadas no notan ninguna alteración, el IPS garantiza menos interferencias para los sistemas y organizaciones de las organizaciones. menos incidentes de seguridad.
IPS solo rastrea el comportamiento de la red cuando toma medidas, protegiendo la privacidad de los usuarios de la red. IPS correlaciona el tráfico de red con el tráfico malicioso establecido, pero no almacena ni accede al contenido.
El IPS se adhiere a una lista basada en la reputación de sitios y dominios sospechosos de ser maliciosos que se utilizan de manera proactiva para proteger la empresa. Por ejemplo: si un miembro del personal hace clic en una conexión en un correo electrónico de phishing o en un anuncio de malware para un sitio en la lista de denegación de IPS de sitios maliciosos identificados, el sistema bloqueará el tráfico y el empleado verá una pantalla en blanco.
IPS ofrece protección contra ataques de día cero, reduce los ataques de fuerza bruta a contraseñas y ofrece protección contra riesgos de accesibilidad, como DDoS e intentos de DoS. Por ejemplo, supongamos que un delincuente intenta acceder a una cuenta mediante fuerza bruta (por ejemplo, intentos repetitivos de inicio de sesión). El IPS rastreará la escala de los movimientos de datos, identificará patrones sospechosos y denegará el acceso.
IPS identifica y reacciona ante amenazas únicas, lo que permite a las instituciones responder a amenazas definidas para la empresa.
Sin embargo, implementar un IDS tiene sus propios beneficios. Estos beneficios incluyen:
La norma ISO 27039 ayuda a las organizaciones a:
tratando de encontrarse ISO 27001 requisitos, específicamente Anexo A.16:
Tratando de cumplir con los siguientes objetivos de seguridad de ISO 27002
Sin embargo, una organización debe entender que implementar IDPS no es un enfoque único o completo para resolver los requisitos. Además, esta Norma Internacional tampoco pretende ser una guía para ninguna evaluación de cumplimiento, como Certificación SGSI.
Cláusula 1: Alcance
Cláusula 2: Términos y definiciones
Cláusula 3: Antecedentes
Cláusula 4: Generalidades
Cláusula 5: Selección
Cláusula 6: Despliegue
Cláusula 7: Operaciones
ISO 27039 tiene siete cláusulas y un anexo.
Tres partes principales forman la mayor parte de la norma:
Anexo A: Sistema de Prevención y Detección de Intrusiones (IDPS): Marco y cuestiones a considerar
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez