La prevención de intrusiones gana terreno en la empresa
Según IDC, el mercado conjunto de IDS e IPS –conocido como Intrusion Detection and Prevention (IDP)- ronda en la actualidad los 730 millones de dólares. El software basado en host generó el año pasado la mitad de todos los ingresos por hardware y software basado en red, y sin lugar a dudas, los sistemas preventivos tienden a sustituir a las tecnologías de inspección pasivas dentro de las organizaciones.
Tanto IDC como otras firmas de análisis, incluida Infonetics, subrayan, sin embargo, la dificultad de calcular el número exacto de productos IPS con capacidades de bloqueo automático entregados anualmente frente al número de sistemas IDS. Una dificultad debida a las reticencias de algunos de los principales suministradores de IDP, incluidos ISS y Symantec, a facilitar información desglosada de sus ventas. La razón más frecuentemente aducida por ellos es que los IPS incluyen típicamente funcionalidad IDS pasiva, y algunas veces los clientes utilizan sus IPS para la monitorización pasiva (es decir, como IDS) o en una configuración “mixta” en la que bloquean automáticamente algunos tráficos pero monitorizan otras porciones.
Pero IDC asegura que, a la luz del cruce entre diferentes datos, existen fundadas razones para creer que los IPS están ganando terreno en las empresas, hasta el punto de que en unos años se habrán convertido en la tecnología predominante. “Es cierto que los IPS se están vendiendo mejor que los IDS”, confirma Clarence Morey, responsable de estrategia de producto en ISS, quien añade que a menudo es la opción preferida en las redes de misión más crítica. En un informe de resultados remitido a la Securities and Exchange Commission de Estados Unidos, ISS –centrada en la detección de intrusiones basada en software hasta el lanzamiento de su línea de dispositivos IPS Proventia a mediados de 2003- indicaba que su oferta Proventia representó el 61% de sus ventas en productos y licencias durante el tercer trimestre de este año, y del 53% de las ventas por ingresos en los nueve primeros meses. Los ingresos durante este período ascendieron a 88,9 millones de dólares, frente a los 76,1 millones de dólares del mismo período del año anterior. Según este informe, es más que razonable deducir que la tecnología IPS ha superado las ventas de los tradicionales IDS en las cuentas del fabricante.
IDC también apunta que varios de los principales agentes del mercado IDP –McAfee, NetScreen Technologies (comprada por Juniper el año pasado) y Top Layer Networks- generan sus ingresos únicamente a través de sistemas IPS. La consultora también resalta la explosión de lanzamientos de productos durante los pasados seis meses como indicador de una creciente demanda de IPS. En el ámbito de los nuevos IPS basados en host, el software Blink de eEye Digital Security y productos de startups como Bodacion o Determina, son algunas de las novedades más destacables de este año. En el segmento de IPS basados en red, la nueva oferta llegó de la mano de diferentes startups, incluidas Barrier Group, Beadwindow y Captus Networks. Por su parte, McAffee ha presentado recientemente dos nuevas versiones de su producto IntruShield IPS, los modelos multigigabit 4010 y 3000, que amplían los puertos de la plataforma para resolver las necesidades de grandes corporaciones e ISP.
Y, lo que probablemente sea aún más importante como indicador de una necesidad real de funcionalidades IPS: ante esta proliferación de ofertas, no faltan usuarios tempranos dispuestos a probarlas –fundamentalmente, por el momento, suelen optar por las alternativas basadas en red, aparecidas antes en el mercado- para proteger sus sistemas mediante técnicas de bloqueo. “Veo esta tecnología como un elemento importante en la prevención de desastres”, explica Eben Berry, directora de sistemas de información en el proveedor de servicios de salud estadounidense Network Health, que ofrece sus servicios a 60.000 clientes. La organización utiliza appliances V-100 del fabricante V-Secure, capaces de soportar rendimientos de 100 Mbps, en el perímetro de la red para bloquear ataques contra su sitio Web. Dentro de la LAN, Network Health ha desplegado un IPS diferente; en concreto, un sistema NetScreen IDP-100, porque éste puede filtrar de manera bidireccional, algo que V-Secure solo ofrece en versiones recientes, posteriores a la implementación de la compañía.
Otro de estos usuarios pioneros es Diversico Industries, fabricante de herramientas que decidió utilizar los IPS de Barrier Group tras ser afectada repetidamente por docenas de gusanos informáticos y hackers que lograron entrar en sus servidores. Desde entonces, sus responsables aseguran no haber experimentado ninguna intrusión, lo que para ellos justifica sobradamente continuar su apuesta por la prevención de intrusiones.
IPS basados en host
Una oferta más reciente que está empezando a atraer la atención de las empresas son los productos IPS basados en host. Jim Cupps, CIO de Sappi Fine Paper, asegura que la compañía, que tiene que gestiona alrededor de 10.000 sistemas de sobremesa y varios cientos de servidores basados en plataformas Microsoft, recientemente empezó a utilizar el sistema IPS basado en host de Determina, denominado Memory Firewall, en unos cuantos servidores clave, principalmente como una defensa adicional contra gusanos, sin abandonar la utilización simultánea de software antivirus. El sistema Firewall Memory, basado en comportamiento, puede detectar ataques de buffer-overflow, lo que ofrece protección añadida contra brotes de gusanos cuando es necesario parchear las máquinas tras el anuncio de una vulnerabilidad por parte de Microsoft. “No es una alternativa al parcheo, pero evita la necesidad de introducir los parches de manera inmediata, explica Cupps.
El CTO de la firma de servicios gestionados de seguridad Cissr Tecyhnologies, Charles Dodd, ha decidido instalar Blink de eEye en los sistemas de sobremesa y servidores Windows. Blink previene una diversidad de ataques incluso cuando las últimas actualizaciones de parches aún no hayan sido aplicadas a las máquinas Windows, según Dodd, quien asegura que, si la vulnerabilidad existe, la prevención de intrusiones puede sin duda ayudar.
En un segmento como el de la educación, también existen convencidos partidarios de los nuevos IPS. Por ejemplo, la entidad californiana Palm Springs Unified School District, que opera una red compartida por diversas instituciones educativas en las que se agrupan unos 22.000 estudiantes y 2.000 empleados, ha introducido la solución IntruShield de McAfee. El objetivo fundamental era evitar que estudiantes de otros distritos pudieran hackear sus sistemas de información, así como bloquear ataques DoS. Aunque reconoce que debe hacer frente a algunos falsos positivos, Rick Corld, director de tecnología de la organización, considera que es un bajo precio a cambio de conseguir una red realmente segura.
Tanto IDC como otras firmas de análisis, incluida Infonetics, subrayan, sin embargo, la dificultad de calcular el número exacto de productos IPS con capacidades de bloqueo automático entregados anualmente frente al número de sistemas IDS. Una dificultad debida a las reticencias de algunos de los principales suministradores de IDP, incluidos ISS y Symantec, a facilitar información desglosada de sus ventas. La razón más frecuentemente aducida por ellos es que los IPS incluyen típicamente funcionalidad IDS pasiva, y algunas veces los clientes utilizan sus IPS para la monitorización pasiva (es decir, como IDS) o en una configuración “mixta” en la que bloquean automáticamente algunos tráficos pero monitorizan otras porciones.
Pero IDC asegura que, a la luz del cruce entre diferentes datos, existen fundadas razones para creer que los IPS están ganando terreno en las empresas, hasta el punto de que en unos años se habrán convertido en la tecnología predominante. “Es cierto que los IPS se están vendiendo mejor que los IDS”, confirma Clarence Morey, responsable de estrategia de producto en ISS, quien añade que a menudo es la opción preferida en las redes de misión más crítica. En un informe de resultados remitido a la Securities and Exchange Commission de Estados Unidos, ISS –centrada en la detección de intrusiones basada en software hasta el lanzamiento de su línea de dispositivos IPS Proventia a mediados de 2003- indicaba que su oferta Proventia representó el 61% de sus ventas en productos y licencias durante el tercer trimestre de este año, y del 53% de las ventas por ingresos en los nueve primeros meses. Los ingresos durante este período ascendieron a 88,9 millones de dólares, frente a los 76,1 millones de dólares del mismo período del año anterior. Según este informe, es más que razonable deducir que la tecnología IPS ha superado las ventas de los tradicionales IDS en las cuentas del fabricante.
IDC también apunta que varios de los principales agentes del mercado IDP –McAfee, NetScreen Technologies (comprada por Juniper el año pasado) y Top Layer Networks- generan sus ingresos únicamente a través de sistemas IPS. La consultora también resalta la explosión de lanzamientos de productos durante los pasados seis meses como indicador de una creciente demanda de IPS. En el ámbito de los nuevos IPS basados en host, el software Blink de eEye Digital Security y productos de startups como Bodacion o Determina, son algunas de las novedades más destacables de este año. En el segmento de IPS basados en red, la nueva oferta llegó de la mano de diferentes startups, incluidas Barrier Group, Beadwindow y Captus Networks. Por su parte, McAffee ha presentado recientemente dos nuevas versiones de su producto IntruShield IPS, los modelos multigigabit 4010 y 3000, que amplían los puertos de la plataforma para resolver las necesidades de grandes corporaciones e ISP.
Y, lo que probablemente sea aún más importante como indicador de una necesidad real de funcionalidades IPS: ante esta proliferación de ofertas, no faltan usuarios tempranos dispuestos a probarlas –fundamentalmente, por el momento, suelen optar por las alternativas basadas en red, aparecidas antes en el mercado- para proteger sus sistemas mediante técnicas de bloqueo. “Veo esta tecnología como un elemento importante en la prevención de desastres”, explica Eben Berry, directora de sistemas de información en el proveedor de servicios de salud estadounidense Network Health, que ofrece sus servicios a 60.000 clientes. La organización utiliza appliances V-100 del fabricante V-Secure, capaces de soportar rendimientos de 100 Mbps, en el perímetro de la red para bloquear ataques contra su sitio Web. Dentro de la LAN, Network Health ha desplegado un IPS diferente; en concreto, un sistema NetScreen IDP-100, porque éste puede filtrar de manera bidireccional, algo que V-Secure solo ofrece en versiones recientes, posteriores a la implementación de la compañía.
Otro de estos usuarios pioneros es Diversico Industries, fabricante de herramientas que decidió utilizar los IPS de Barrier Group tras ser afectada repetidamente por docenas de gusanos informáticos y hackers que lograron entrar en sus servidores. Desde entonces, sus responsables aseguran no haber experimentado ninguna intrusión, lo que para ellos justifica sobradamente continuar su apuesta por la prevención de intrusiones.
IPS basados en host
Una oferta más reciente que está empezando a atraer la atención de las empresas son los productos IPS basados en host. Jim Cupps, CIO de Sappi Fine Paper, asegura que la compañía, que tiene que gestiona alrededor de 10.000 sistemas de sobremesa y varios cientos de servidores basados en plataformas Microsoft, recientemente empezó a utilizar el sistema IPS basado en host de Determina, denominado Memory Firewall, en unos cuantos servidores clave, principalmente como una defensa adicional contra gusanos, sin abandonar la utilización simultánea de software antivirus. El sistema Firewall Memory, basado en comportamiento, puede detectar ataques de buffer-overflow, lo que ofrece protección añadida contra brotes de gusanos cuando es necesario parchear las máquinas tras el anuncio de una vulnerabilidad por parte de Microsoft. “No es una alternativa al parcheo, pero evita la necesidad de introducir los parches de manera inmediata, explica Cupps.
El CTO de la firma de servicios gestionados de seguridad Cissr Tecyhnologies, Charles Dodd, ha decidido instalar Blink de eEye en los sistemas de sobremesa y servidores Windows. Blink previene una diversidad de ataques incluso cuando las últimas actualizaciones de parches aún no hayan sido aplicadas a las máquinas Windows, según Dodd, quien asegura que, si la vulnerabilidad existe, la prevención de intrusiones puede sin duda ayudar.
En un segmento como el de la educación, también existen convencidos partidarios de los nuevos IPS. Por ejemplo, la entidad californiana Palm Springs Unified School District, que opera una red compartida por diversas instituciones educativas en las que se agrupan unos 22.000 estudiantes y 2.000 empleados, ha introducido la solución IntruShield de McAfee. El objetivo fundamental era evitar que estudiantes de otros distritos pudieran hackear sus sistemas de información, así como bloquear ataques DoS. Aunque reconoce que debe hacer frente a algunos falsos positivos, Rick Corld, director de tecnología de la organización, considera que es un bajo precio a cambio de conseguir una red realmente segura.
