Si trabajas en una empresa que opera en el sector TIC, es muy probable que hayas escuchado las siglas SIEM, IDS e IPS en algún momento, y si trabajas específicamente en el ámbito de la ciberseguridad, seguramente estés bastante familiarizado con estos términos. En definitiva, SIEM, IDS e IPS son sistemas de protección de las comunicaciones que sirven para monitorizar el tráfico que entra y sale de nuestra red, aunque funcionan de manera distinta.
IDS:
IDS (Intrusion Detection System) o sistema de detección de intrusiones, es una aplicación que sirve para detectar accesos que no han sido autorizados dentro de un ordenador o de una red. En otras palabras, se trata de un sistema que monitoriza el tráfico que entra en la red, y lo contrasta con una base de datos actualizada para comprobar si tiene permitido el acceso.
En caso de detectar actividad inusual o sospechosa, el sistema emite automáticamente una alerta a los usuarios con permiso de administrador en el sistema. Sin embargo, estos sistemas son meramente reactivos, lo que significa que no evitan la intrusión, sino que únicamente notifican al administrador de la misma.
IPS:
IPS (Intrusion Prevention System) o sistema de prevención de intrusiones, es un software cuya finalidad es la de proteger los sistemas de posibles ciberataques. Para ello, llevan a cabo un análisis de las conexiones en tiempo real, lo que permite detectar (a veces incluso anticipar) las distintas intrusiones y, posteriormente, implementan políticas basadas en el contenido del tráfico monitorizado.
En otras palabras, los IPS, a diferencia de los IDS, no sólo emiten alarmas cuando se producen intrusiones, sino que además también pueden descartar paquetes y desconectar conexiones.
En algunas ocasiones podemos encontrar sistemas mixtos, llamados IPS/IDS, que se suelen integrar con cortafuegos y UTM (Unified Threat Management), y que regulan el acceso en función de los protocolos y dependiendo del destino u origen del tráfico.
SIEM:
SIEM (Security Information and Event Management) o sistema de gestión de eventos e información de seguridad, es una solucion híbrida centralizada que integra la gestion de la información de seguridad, y la gestión de eventos. El SIEM es el complemento perfecto para el IDS y el IPS, dado que lleva a cabo un análisis en tiempo real de todas las alertas emitidas por estos sistemas, y los categoriza para distinguir intrusiones de accidentes o falsos positivos.
En resumen, el SIEM es el sistema en el que se centraliza toda esta información, y se integra con los otros sistemas de detección de intrusiones.
Ahora ya sabes qué son y para qué sirven los sistemas IDS, IPS y SIEM. Si quieres saber más, escríbenos a través de nuestra página de contacto y resolveremos todas tus dudas.