Mecanismos para la detección de ataques e intrusiones

Mapa conceptual sobre la detección de ataques e intrusiones

Get Started. It's Free
or sign up with your email address
Mecanismos para la detección de ataques e intrusiones by Mind Map: Mecanismos para la detección de ataques e intrusiones

1. Fases utilizadas por un atacante

1.1. Fase de vigilancia

1.1.1. Descubrir servicios vulnerables y errores de configuración

1.2. Fase de explotación de servicio

1.2.1. Actividad que permitirá al atacante hacerse con privilegios de administrador

1.3. Fase de ocultación de huellas

1.3.1. Actividad para pasar desapercibido en el sistema

1.4. Fase de extracción de información

1.4.1. Con privilegios de administrador tendrá acceso a los datos de los clientes

2. Sistemas de deteccion de intrusos

2.1. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque

2.1.1. Intrusión

2.1.1.1. Una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo

2.1.2. Detección de intrusiones

2.1.2.1. Proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red

3. Antecedentes de los sistemas de deteccion de intrusos

3.1. Son una evolución directa de los primeros sistemas de auditorías

3.1.1. Sistemas de Confianza

3.1.1.1. Sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada

4. Arquitectura general de un sistema de detección de intrusiones

4.1. Precisiónn

4.1.1. Sistema de detección de intrusos, diferenciar acciones legítimas con acciones deshonestas a la hora de realizar su detección

4.2. Eficiencia

4.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos)

4.3. Rendimiento

4.3.1. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente para poder llegar a realizar una detección en tiempo real

4.4. Escalabilidad

4.4.1. A medida que la red vaya creciendo (tanto en medida como en velocidad), tambien aumentará el número de eventos que deberá tratar el sistema

4.5. Tolerancia en fallos

4.5.1. Capacidad de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema

5. Recolectores de información

5.1. Sensor

5.1.1. Es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección

5.1.1.1. Sensores basados en equipo

5.1.1.1.1. Analizar y recoger información de eventos a nivel de sistema operativo

5.1.1.2. Sensores basados en red

5.1.1.2.1. recogen información de eventos sucedidos a nivel de trafico de red

5.1.1.3. Basados en aplicación

5.1.1.3.1. Recibe la información de aplicaciones que se están ejecutando

6. Procesadores de eventos

6.1. Analizadores

6.1.1. Conforman el núcleo central del sistema de detección

6.1.1.1. Reconocimiento de patrones

6.1.1.2. Transiciones de estados

7. Unidades de respuesta

7.1. Se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión

7.1.1. Respuesta activa

7.1.1.1. Acciones de respuesta automáticas

7.1.2. Respuesta passiva

7.1.2.1. Requerir interacción humana

8. Elementos de almacenamiento

8.1. Información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento

9. Escáners de vulnerabilidades

9.1. Conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes

9.1.1. Escáners basados en máquina

9.1.2. Escáners basados en red

9.1.2.1. Prueba por explotación

9.1.2.2. Métodos de inferencia

10. Sistemas de decepción

10.1. Utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes

10.1.1. Equipos de decepción

10.1.1.1. Equipos informáticos conectados en que tratan de atraer el tráfico de uno o mas atacantes

10.1.2. Celdas de aislamiento

10.1.2.1. Se pueden utilizar para comprender mejor los métodos utilizados por los intrusos

10.1.3. Redes de decepción

10.1.3.1. Construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos

11. Prevención de intrusos

11.1. Resultado de unir las capacidad de bloqueo de los mecanismos de prevención con las capacidades de análisis y monitorztación de los sistemas de detección de intrusos

11.1.1. Detección en línea

11.1.2. Conmutadores de nivel siete

11.1.3. cortafuegos a nivel de aplicación

11.1.4. Conmutadores híbridos

11.1.4.1. Combinación de un sistema cortafuegos a nivel de aplicación junto con un conmutador de nivel siete permite reducir problemas de seguridad asociados a una programación deficiente, así como la posibilidad de detectar ataques a nivel de aplicación

12. Detección de ataques distribuidos

12.1. Esquemas tradicionales

12.2. Análisis descentralizado

12.2.1. La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo duísimas restricciones de tiempo real

12.2.1.1. Análisis descentralizado mediante código móvil

12.2.1.2. Análisis descentralizado mediante paso de mensajes