Todas las aplicaciones, incluido el malware, tienen un patrón distinto de sus acciones, tamaño de archivo, hashes de archivos y código compilado. Este patrón se denomina firma. La detección de intrusos basada en firmas examina el tráfico a través de una red para detectar firmas de software maliciosas. Aunque es una forma más antigua de detección de malware, la detección basada en firmas es precisa y aún viable en la ciberseguridad y la protección de datos.
¿Qué es la detección de intrusiones basada en firmas?
La detección de intrusos basada en firmas identifica las amenazas al comparar la actividad del sistema con una base de datos de patrones de ataque conocidos o firmas para detectar comportamientos maliciosos.
El malware, como cualquier programa, se compila en un lenguaje informático binario. Su código compilado puede tener hash para crear una firma única, pero otras características también pueden crear una firma. Las acciones que realiza el malware junto con su código en memoria pueden determinar su firma única. Algunos malware muestran frases de autor almacenadas en la memoria, mientras que otros almacenarán archivos específicos en ubicaciones específicas, que también se alimentan en su patrón específico.
El malware moderno a menudo se comunica con una ubicación de comando y control (C2). El malware tiene direcciones IP o nombres de dominio codificados para comunicarse con el autor. La comunicación le permite al atacante saber que una máquina dirigida ahora está ejecutando el malware y su ataque fue exitoso. Los cortafuegos y los sistemas de detección de intrusos pueden detectar solicitudes para comunicarse en estas direcciones IP y dominios para alertar a los administradores sobre actividades sospechosas.
Cómo funciona la detección de intrusiones basada en firmas
Para trabajar con la detección de intrusos basada en firmas, primero debe almacenar firmas de malware. Las firmas se almacenan en una base de datos, generalmente proporcionada por el proveedor de detección de intrusos. La firma elegida para ser un indicador es decidida por investigadores de seguridad que a menudo comparten sus hallazgos en ubicaciones de código abierto. Por ejemplo, la popular herramienta YARA puede utilizarse para clasificar y crear firmas de malware.
Los sistemas de detección de intrusos monitorean continuamente el tráfico de la red para detectar firmas de malware. Comparan el tráfico de red con las firmas almacenadas en la base de datos del sistema de detección de intrusos. Cuando se detecta una firma en el tráfico, la detección de intrusos toma medidas, como alertar a los administradores.
Ventajas de la detección de intrusos basada en firmas
Debido a que las firmas se crean a partir de malware, es un sistema mucho más preciso que otra detección basada en anomalías. Las firmas son estáticas, siempre que el autor del malware no realice cambios e introduzca una variante, por lo que la detección de intrusos con una base de datos actualizada tiene muy pocos falsos positivos. Los falsos positivos ocurren cuando la detección de intrusos marca una aplicación de manera incorrecta.
Otra ventaja de la detección basada en firmas es que es rápida y no requiere datos de referencia. Las firmas se pueden identificar rápidamente sin primero recopilar datos para determinar si la actividad no coincide con los puntos de referencia. Por ejemplo, la detección basada en anomalías necesita un punto de referencia de la actividad en los archivos antes de que pueda determinar si demasiadas solicitudes de acceso podrían ser malware o actividad común de la red.
Limitaciones de la detección de intrusiones basada en firmas
Para tener firmas de malware, se debe conocer la amenaza. Las amenazas de día cero son las que no se ven en la naturaleza, por lo que no tienen firma para detectar. La falta de firmas en las amenazas de día cero significa que la detección de intrusos que dependen de las firmas no puede detectarlas. Sin una cobertura completa, este tipo de detección de intrusos puede dar a los administradores una falsa sensación de seguridad.
La detección de intrusos basada en firmas también necesita más recursos que otras formas de detección de intrusos. El tráfico se compara constantemente con una lista de firmas en una base de datos, y su base de datos de firmas podría tener millones de elementos almacenados. Para que la detección de intrusos utilice firmas, también debe asegurarse de que la base de datos se actualice de manera consistente. Los proveedores de nube generalmente proporcionan actualizaciones, pero el almacenamiento local puede requerir acciones manuales de los administradores de red.
Casos de uso y aplicaciones
Cualquier industria con datos locales y en la nube puede aprovechar la detección de intrusos basada en firmas, pero a menudo se utiliza como un único componente en la protección de datos. La detección de intrusos basada en firmas es excelente para identificar amenazas conocidas de inmediato con pocos falsos positivos. Por ejemplo, un proveedor de atención de la salud puede usar este tipo de detección de intrusos para protegerse contra el ransomware conocido. Ransomware suele estar dirigido a agencias de atención de la salud, hospitales y compañías de seguros porque a menudo tienen software heredado obsoleto. La protección basada en firmas puede detener estas amenazas al instante, especialmente cuando se combina con sistemas de prevención de intrusiones.
Las organizaciones de servicio al cliente son otro objetivo común porque reciben archivos adjuntos de los clientes para su revisión. Si un archivo adjunto contiene malware, se puede detectar la firma del malware. La detección de intrusos es valiosa en los segmentos de red donde se descargan y almacenan archivos adjuntos de correo electrónico de terceros.
Conclusiones
La seguridad cibernética a nivel empresarial requiere varios niveles de protección. La detección de intrusos basada en firmas es una capa, pero necesitará varias otras para proteger completamente su entorno. Con la seguridad basada en firmas, puede proteger su entorno de amenazas conocidas, que son un factor importante en las filtraciones de datos.
El almacenamiento de firmas y otras técnicas de análisis de seguridad requiere sistemas de almacenamiento robustos. Pure Storage tiene la velocidad y la capacidad para entornos grandes con detección de intrusos compleja. Pure Storage se asoció con Elasticsearch para realizar búsquedas más rápidas y lograr una arquitectura resistente para escalar.
