Unidades de respuesta
Las unidades de respuesta de un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta passiva).
Las respuestas activas tienen como objetivo actuar contra el ataque, intentando su neutralización, en el momento en el que es detectado (o mientras una intrusión todavía continúa en curso). Un ejemplo de respuesta activa puede ser la cancelación de la conexión en red que originó el ataque o el propio seguimiento del ataque que permitiría más adelante el análisis correspondiente. Por contra, las respuestas pasivas se limitan a lanzar una alarma para informar y describir el ataque detectado en el administrador del sistema. La mayoría de los componentes de respuesta pasiva ofrecen distintas formas de hacer llegar esta información al administrador como, por ejemplo, mediante un correo electrónico, mediante la utilización de mensajes SMS, etc.
El problema de las respuestas activas es que pueden acabar en una denegación de servicio contra usuarios o sistemas legítimos. Es muy probable que algunas de las alarmas que los procesadores hacen saltar sean incorrectas. Por ejemplo, si la unidad de respuesta cortara inmediatamente con la conexión que originó esta alarma, o con aquellos procesos considerados sospechosos, ello podría suponer la pérdida de trabajo de un usuario o servicio inocente.
En la mayoría de los sistemas (por ejemplo, servidores de comercio electrónico) este tipo de errores puede suponer la pérdida de clientes, la cual cosa es inadmisible. Por este motivo, la mayoría de empresas del sector del comercio electrónico se decantan por la contratación de especialistas que, manualmente, analicen los informes generados por el sistema de detección para determinar si es necesaria una respuesta activa ante tal aviso.
Al igual que los sensores, las unidades de respuesta se podrían clasificar en distintas categorías según el punto de actuación. Las dos categorías más generales son las unidades de respuesta basadas en equipo y las unidades de respuesta basadas en red.
• Unidades de respuesta basadas en equipo. Se encargan de actuar a nivel de sistema
operativo (como, por ejemplo, bloqueo de usuarios, finalización de procesos, etc).
• Unidades de respuesta basadas basadas en red. Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta