Rob VandenBrink del Sans Institute, a través del Internet Storm Center, analizó el informe que desarrolló junto a otros integrantes del Sans denominado “Beatón te IPS” (Derrotando a los IPS). En este documento, se comprueba de qué forma se comportan los principales sistemas IPS ante las técnicas de evasión más utilizadas.
Los sistemas IPS analizados se mostraron eficaces contra ataques automatizados pero contra un atacante con tiempo y recursos el resultado fue diferente. El IPS demora las acciones dañinas para que la entidad atacada pueda detectar dicho ataque y tome medidas para minimizar el impacto del mismo como añadir nuevas Acles, bloquear direcciones IP (si el ataque proviene de una única dirección IP) o implementar nuevas contramedidas adicionales.
Otro aspecto importante que se deduce del análisis realizado a los principales sistemas IPS, es que se necesita tiempo, dedicación y sobre todo un compromiso de mantenimiento y supervisión constante para que un IPS sea eficaz y una verdadera medida de protección contra posibles atacantes. En la mayoría de los casos, se precisa de un equipo de personas dedicado a supervisar y alimentar el sistema IPS con nuevas firmas y patrones personalizados y adaptados al funcionamiento de cada red donde se encuentre ubicado.
Ante una vulnerabilidad antigua y que debería ser conocida por las firmas de los diferentes productos IPS analizados, sólo Check Point fue capaz de bloquear y detener el ataque usando el perfil predeterminado proporcionado por el fabricante. El resto de sistemas se mostraron inútiles ante un ataque de 2008 ampliamente conocido. Otra conclusión importante que se extrae de este punto es que es necesario adaptar y crear una política de seguridad personalizada para cada infraestructura, no se puede confiar ciegamente en los ajustes por defecto que recomiende cada fabricante.
Una última recomendación, aunque pueda parecer de sentido común, es que se debe prestar atención a las diferentes alertas que vaya generando el sistema IPS ya que, si bien es posible que no se detecte un ataque determinado de forma directa, sí que se pueden detectar síntomas e indicios de alguna actividad sospechosa que, seguramente, a la larga derive en algún ataque más concreto.
Compartir nota:
