ISO 27039

ISO 27039 detalla la selección, implementación y operaciones de sistemas de prevención y detección de intrusiones (IDPS). Vamos a explorar lo que eso significa.

¿Qué es ISO 27039?

ISO/IEC 27039:2015 proporciona recomendaciones para ayudar a las organizaciones en la implementación de sistemas de detección y prevención de intrusiones (IDPS). ISO 27039 describe la selección, implementación y procesos de los IDPS. La norma también ofrece información de contexto para estas directrices. Detección y prevención de intrusiones son dos palabras amplias que definen las prácticas utilizadas para prevenir ataques y evitar nuevas amenazas.

La detección de intrusiones es una medida reactiva que detecta y mitiga las amenazas en curso mediante la detección de intrusiones. Se utiliza para:

• Detectar malware (por ejemplo, troyanos, puertas traseras, rootkits)
• Detección de ataques de ingeniería social que manipulan a los usuarios para exponer detalles confidenciales (por ejemplo, phishing)

La prevención de intrusiones es una medida de seguridad proactiva que utiliza un sistema de prevención de intrusiones para eliminar los ataques a los dispositivos. Eso incluye:

• Inclusiones remotas de archivos que permiten la inyección de malware.
• Inyecciones SQL utilizadas para navegar por las bases de datos de la empresa.

IDPS bien diseñados, implementados, configurados, controlados y operados, como:

• La automatización optimiza a los profesionales de la seguridad, quienes tendrían que rastrear, evaluar y reaccionar lo mejor que puedan ante los incidentes de seguridad de la red;
• La automatización tiende a acelerar la identificación y la reacción ante los ataques, especialmente los tipos comunes de ataques que pueden identificarse sin ambigüedades mediante firmas únicas;
• Ellos tranquilizan Gestión de problemas de seguridad en las redes. y los dispositivos en red se detectan y mitigan.

La norma contiene orientación e instrucciones sobre la implementación de un IDPS.

¿Qué son los sistemas de detección y prevención de intrusos?

Las organizaciones no deberían simplemente saber qué, dónde y cómo se invadió su red, dispositivo o programa. También deben saber cuál es la vulnerabilidad abusada y qué precauciones o implementar tratamientos de riesgo efectivos para evitar futuros problemas.

Las organizaciones también pueden identificar y prevenir intrusiones cibernéticas. Este método Implica un examen del tráfico de la red y una auditoría. rastros de ataques conocidos o patrones únicos que generalmente implican intenciones maliciosas. A mediados de la década de 1990, las empresas comenzaron a utilizar sistemas de detección y prevención de intrusiones (IDPS) para satisfacer estas necesidades.

El uso general de IDPS continúa creciendo con una variedad más amplia de dispositivos IDPS disponibles para satisfacer un nivel cada vez mayor de requisitos organizacionales para una detección de intrusiones sofisticada.

Los sistemas de detección de intrusiones son en su mayoría sistemas automatizados que identifican los ataques e intrusiones de los piratas informáticos en una red o dispositivo y dan la alarma. Los sistemas de prevención de intrusiones llevan la automatización un paso más allá al reaccionar automáticamente a ciertos métodos de ataque identificados, como cerrar puertos de red específicos, a través de un firewall, para bloquear el tráfico de piratas informáticos identificados. Los desplazados internos se refieren a ambos tipos de esto.

Un sistema de detección de incidentes (IDS) es un programa de hardware o software que utiliza firmas de intrusión conocidas para identificar y analizar el tráfico de red entrante y saliente en busca de actividades sospechosas. Un IDS logra esto mediante:

• Comparación de archivos del sistema con firmas de malware.
• Procesos de escaneo para identificar patrones peligrosos.
• Realice un seguimiento de las acciones del usuario en busca de intenciones maliciosas.
• Controlar configuraciones y parámetros del dispositivo.

Al detectar una violación de seguridad, un virus o un error de configuración, un IDS expulsará de la red al usuario infractor y enviará una advertencia al personal de seguridad.

A pesar de sus ventajas, un IDS tiene desventajas inherentes. Ya que utiliza firmas de intrusión establecidas para encontrar ataques. Las amenazas recién descubiertas o de día cero pueden pasar desapercibidas. Un IDS detecta sólo ataques activos, no asaltos entrantes. Se necesita un sistema de prevención de intrusiones para bloquearlos.

Un sistema de prevención de intrusiones (IPS) complementa una configuración de IDS al revisar proactivamente el tráfico entrante para evitar solicitudes maliciosas. Una configuración IPS estándar utiliza firewalls y filtrado de tráfico Soluciones para proteger aplicaciones..

Un IPS evita ataques al soltar paquetes maliciosos, bloquear las IP infractoras y alertar al personal de seguridad sobre los riesgos. Este dispositivo normalmente utiliza una base de datos de reconocimiento de firmas preexistente y puede diseñarse para detectar ataques basados ​​en el tráfico e irregularidades de comportamiento.

Aunque bloquean eficazmente los vectores de ataque conocidos, algunos sistemas IPS tienen limitaciones. Estos suelen ser inducidos por una dependencia excesiva de leyes predefinidas, lo que los hace vulnerables a falsos positivos.

La historia de ISO/IEC 27039:2015

ISO publicó esta norma en 2015. ISO 27039 se publicó como reemplazo de ISO/IEC 18043:2006. En 2016, el corrigendum técnico revisó la descripción de la norma, restableciendo las palabras “y prevención”, que faltaban notablemente.

ISO / IEC 18043: 2006

ISO/IEC 18043:2006 emitió directrices para una empresa que opta por proporcionar detección de intrusiones en su infraestructura de TI. Era un "cómo" para administradores y usuarios que querían:

• Comprender los costos y beneficios de un IDS
• Establecer una política y un plan de implementación para el IDS.
• Para controlar eficientemente las salidas del IDS
• Incorporar el seguimiento de intrusiones a los procedimientos de seguridad de la organización
• Considerar las preocupaciones legales y de privacidad involucradas en la introducción del IDS.

ISO/IEC 18043:2006 proporcionó información que ayudó a promover la cooperación entre organizaciones que utilizan el IDS. La estructura facilitó que las organizaciones compartieran información sobre intrusiones que cruzan los límites organizacionales.

La norma ISO/IEC 18043:2006 proporciona:

• Una breve descripción del proceso de detección de intrusiones.
• Una explicación de lo que el IDS puede y no puede hacer
• Una lista de verificación que ayudó a determinar las mejores funciones de IDS para un entorno de TI en particular
• Una definición de diferentes estrategias de implementación.
• Consejos para gestionar alertas IDS
• Una explicación para las preocupaciones legales y de gestión.

¿Cuáles son los beneficios de ISO 27039?

Ambos sistemas tienen ventajas e inconvenientes. ISO 27039 contiene información y orientación específicas para la implementación y aplicación exitosa de los IDPS para todas las organizaciones.

Menos incidentes de seguridad.

Aunque las unidades normalmente vinculadas no notan ninguna alteración, el IPS garantiza menos interferencias para los sistemas y organizaciones de las organizaciones. menos incidentes de seguridad.

Iniciar sesión selectivamente y proteger la privacidad

IPS solo rastrea el comportamiento de la red cuando toma medidas, protegiendo la privacidad de los usuarios de la red. IPS correlaciona el tráfico de red con el tráfico malicioso establecido, pero no almacena ni accede al contenido.

Seguridad gestionada de buena reputación

El IPS se adhiere a una lista basada en la reputación de sitios y dominios sospechosos de ser maliciosos que se utilizan de manera proactiva para proteger la empresa. Por ejemplo: si un miembro del personal hace clic en una conexión en un correo electrónico de phishing o en un anuncio de malware para un sitio en la lista de denegación de IPS de sitios maliciosos identificados, el sistema bloqueará el tráfico y el empleado verá una pantalla en blanco.

Seguridad multiamenaza

IPS ofrece protección contra ataques de día cero, reduce los ataques de fuerza bruta a contraseñas y ofrece protección contra riesgos de accesibilidad, como DDoS e intentos de DoS. Por ejemplo, supongamos que un delincuente intenta acceder a una cuenta mediante fuerza bruta (por ejemplo, intentos repetitivos de inicio de sesión). El IPS rastreará la escala de los movimientos de datos, identificará patrones sospechosos y denegará el acceso.

Peligro de respuesta dinámica

IPS identifica y reacciona ante amenazas únicas, lo que permite a las instituciones responder a amenazas definidas para la empresa.

Sin embargo, implementar un IDS tiene sus propios beneficios. Estos beneficios incluyen:

• Utilizando la base de datos de firmas, IDS garantiza una identificación rápida y eficiente de las anomalías identificadas con una baja probabilidad de falsas alarmas.
• Analiza varios tipos de amenazas, detecta tendencias de contenido malicioso y ayuda a los administradores a resolver, gestionar y hacer cumplir controles adecuados.
• Ayuda a garantizar el cumplimiento de las normas y a cumplir con las normas de seguridad, ya que ofrece una mayor visibilidad en toda la red.
• Si bien el IDS suele ser un dispositivo pasivo, mientras detecta y genera advertencias, algunos IDS activos pueden bloquear direcciones IP o impedir el acceso a recursos cuando se detecta una anomalía.

¿Quién puede implementar la ISO 27039?

La norma ISO 27039 ayuda a las organizaciones a:

tratando de encontrarse ISO 27001 requisitos, específicamente Anexo A.16:

• La organización implementa procedimientos y otras medidas capaces de identificar rápidamente y respuesta a incidentes de seguridad
• Para detectar mejor los intentos y éxitos de violaciones e incidentes de seguridad, la empresa deberá llevar a cabo procedimientos de seguimiento y evaluación y otros controles.

Tratando de cumplir con los siguientes objetivos de seguridad de ISO 27002

• Detectar actividades ilegales de procesamiento de información;
• Sistemas de monitorización con actividades de seguridad de la información documentadas, utilizando registros del operador y registros de fallas para detectar problemas en el dispositivo
• Con el objetivo de cumplir con todos los criterios legales aplicables para sus actividades de seguimiento y presentación de informes.
• Monitoreo del sistema para confirmar la eficacia de los controles implementados y verificar el cumplimiento de una política de acceso modelo

Sin embargo, una organización debe entender que implementar IDPS no es un enfoque único o completo para resolver los requisitos. Además, esta Norma Internacional tampoco pretende ser una guía para ninguna evaluación de cumplimiento, como Certificación SGSI.