Un IDS, del inglés Intrusion Detection System, consiste en un sistema para la detección de intrusiones. Este tipo de sistemas analizan la actividad de los equipos y la red en busca de anomalías que puedan indicar la existencia de intrusiones.
Estos sistemas se pueden dividir en dos categorías, dependiendo si la actividad que monitorizan es de una red o de un equipo:
- Basados en red – Network Intrusion Detection System (NIDS)
Detecta comportamiento anómalo de los equipos de una red. Al monitorizar el tráfico de un segmento, puede analizar el comportamiento de un conjunto de sistemas. Este tipo de dispositivos son capaces de analizar el tráfico sin afectar apenas al rendimiento de la red.
- Basados en equipo – Host Intrusion Detection System (HIDS)
Este tipo de sistemas se instala en los equipos y analizan su actividad en busca de indicios de compromiso, como cambios en el registro o conexiones sospechosas. Al analizar la actividad de los equipos, este tipo de sistemas puede aportar un enfoque diferente, e incluso ser más efectivos que los NIDS.
Aparte de esta clasificación, también se diferencian los sistemas de este tipo dependiendo de su capacidad de reacción frente a las intrusiones:
- Sistemas pasivos: Detectan la intrusión pero no la previenen.
- Sistemas activos, de prevención de amenazas (IPS): Estos sistemas, además de detectar la amenaza, tienen capacidad para contenerla.
Un Sistema de Prevención de Intrusos (IPS) suele ser un sistema más avanzado que un IDS, ya que cuenta con prestaciones para la prevención de los ataques o de la actividad maliciosa. Es decir, no solo identifica la amenaza, sino que, a diferencia del sistema de detección de intrusos, intenta detenerla. Se podría considerar una evolución de los sistemas de detección de intrusos, y actúa de forma similar a la de un cortafuegos: identifica posibles amenazas y responde a ellas para detener, o al menos limitar, los daños ocasionados.
Hoy en día, la existencia de una organización puede llegar a depender de la información corporativa almacenada en los sistemas informáticos corporativos. Contabilidad, bases de datos de empleados y clientes, documentación de productos e innovaciones, documentos confidenciales… La información es el principal activo corporativo, y hay que protegerla con todos los medios al alcance. Tanto los Sistemas de Detección de Intrusos (IDS) como los Sistemas de Prevención de Intrusos (IPS) se utilizan para mantener la seguridad de la red, encargándose de analizar la actividad de los equipos y la red con el fin de identificar patrones sospechosos.
