Cada aplicación —incluido el malware— tiene un patrón distinto de sus acciones, tamaño de archivo, hashes de archivo y código compilado. Este patrón se llama firma. La detección de intrusiones basada en firmas examina el tráfico en una red para detectar firmas de software maliciosas. Aunque es una forma más antigua de detección de malware, la detección basada en firmas es precisa y sigue siendo viable en ciberseguridad y protección de datos.
¿Qué es la detección de intrusiones basada en firmas?
La detección de intrusiones basada en firmas identifica las amenazas comparando la actividad del sistema con una base de datos de patrones de ataque o firmas conocidos para detectar comportamientos maliciosos.
El malware, como cualquier programa, se compila en un lenguaje informático binario. Su código compilado se puede cifrar para crear una firma única, pero otras características también pueden crear una firma. Las acciones que el malware realiza junto con su código en memoria pueden determinar su firma única. Algunos programas maliciosos muestran frases de autores almacenadas en la memoria, mientras que otros almacenan archivos específicos en ubicaciones específicas, que también se introducen en su patrón específico.
El malware moderno a menudo se comunica con una ubicación de comando y control (C2). El malware tiene direcciones IP o nombres de dominio codificados para comunicarse con el autor. La comunicación permite que el atacante sepa que una máquina objetivo está ejecutando el malware y que su ataque ha tenido éxito. Los cortafuegos y los sistemas de detección de intrusiones pueden detectar solicitudes para comunicarse en estas direcciones y dominios IP para alertar a los administradores de actividades sospechosas.
Cómo funciona la detección de intrusiones basada en firmas
Para trabajar con la detección de intrusiones basada en firmas, primero tiene que almacenar las firmas de malware. Las firmas se almacenan en una base de datos, que normalmente proporciona el proveedor de detección de intrusiones. La firma elegida para ser un indicador la deciden investigadores de seguridad que a menudo comparten sus hallazgos en ubicaciones de código abierto. Por ejemplo, la popular herramienta YARA puede usarse para clasificar y crear firmas de malware.
Los sistemas de detección de intrusiones supervisan continuamente el tráfico de la red en busca de firmas de malware. Comparan el tráfico de red con las firmas almacenadas en la base de datos del sistema de detección de intrusiones. Cuando se detecta una firma en el tráfico, la detección de intrusiones actúa, por ejemplo, alertando a los administradores.
Ventajas de la detección de intrusiones basada en firmas
Debido a que las firmas se crean a partir de malware, es un sistema mucho más preciso que otras detecciones basadas en anomalías. Las firmas son estáticas, siempre que el autor del malware no realice cambios e introduzca una variante, por lo que la detección de intrusiones con una base de datos actualizada tiene muy pocos falsos positivos. Los falsos positivos ocurren cuando la detección de intrusiones marca una aplicación incorrectamente.
Otra ventaja de la detección basada en firmas es que es rápida y no requiere ningún dato de referencia. Las firmas pueden identificarse rápidamente sin recopilar primero datos para determinar si la actividad no coincide con los puntos de referencia. Por ejemplo, la detección basada en anomalías necesita un punto de referencia de la actividad en los archivos antes de poder determinar si demasiadas solicitudes de acceso pueden ser malware o actividad de red común.
Limitaciones de la detección de intrusiones basada en firmas
Para tener firmas de malware, debe conocerse la amenaza. Las amenazas de día cero son las que no se ven en la naturaleza, por lo que no tienen ninguna firma que detectar. La falta de firmas en las amenazas de día cero significa que la detección de intrusiones que depende de las firmas no puede detectarlas. Sin una cobertura completa, este tipo de detección de intrusiones puede dar a los administradores una falsa sensación de seguridad.
La detección de intrusiones basada en firmas también necesita más recursos que otras formas de detección de intrusiones. El tráfico se compara constantemente con una lista de firmas de una base de datos y su base de datos de firmas puede tener millones de elementos almacenados. Para que la detección de intrusiones use firmas, también debe asegurarse de que la base de datos se actualiza de manera constante. Los proveedores de la nube suelen proporcionar actualizaciones, pero el almacenamiento local puede requerir acciones manuales de los administradores de red.
Casos de uso y aplicaciones
Cualquier sector con datos locales y en la nube puede aprovechar la detección de intrusiones basada en firmas, pero a menudo se utiliza como un único componente en la protección de datos. La detección de intrusiones basada en firmas es excelente para identificar amenazas conocidas inmediatamente con pocos falsos positivos. Por ejemplo, un profesional sanitario puede usar este tipo de detección de intrusiones para protegerse del ransomware conocido. Ransomware suele dirigirse a las agencias sanitarias, los hospitales y las compañías de seguros, porque a menudo tienen un software obsoleto tradicional. La protección basada en firmas puede detener estas amenazas al instante, sobre todo cuando se combina con sistemas de prevención de intrusiones.
Las organizaciones de servicio al cliente son otro objetivo común porque reciben archivos adjuntos de los clientes para que los revisen. Si un archivo adjunto contiene malware, se puede detectar la firma del malware. La detección de intrusiones es valiosa en los segmentos de red en los que se descargan y almacenan archivos adjuntos de correo electrónico de terceros.
Conclusión
La ciberseguridad a nivel empresarial requiere varias capas de protección. La detección de intrusiones basada en firmas es de una capa, pero necesitará varias más para proteger totalmente su entorno. Con la seguridad basada en firmas, puede proteger su entorno de las amenazas conocidas, que son un factor importante en las vulneraciones de datos.
El almacenamiento de firmas y otros análisis de seguridad requiere unos sistemas de almacenamiento sólidos. Pure Storage tiene la velocidad y la capacidad necesarias para entornos grandes con una detección de intrusiones compleja. Pure Storage se ha asociado con Elasticsearch para realizar búsquedas más rápidas y crear una arquitectura resiliente para el escalamiento.
