Un IDS (sistema de detección de intrusos) o IPS (sistema de prevención de intrusos) es la solución estándar. Por lo general, funciona observando el tráfico hacia sus recursos protegidos (como un servidor web) y buscando características asociadas con los ataques. La gran ventaja es que ahorra una gran cantidad de tiempo y proporciona muchas más formas de escanear en busca de vectores de ataque que usted mismo. Con la mayoría de los sistemas de este tipo, planifica una forma de obtener actualizaciones, de modo que los atacantes evolucionen, su sistema lo siga poco después.
Para cualquier tipo de recurso dado, los vectores de ataque variarán y siempre están evolucionando. Como mencionó, para los servidores web, un vector bastante común son las entradas defectuosas: la inyección de código y el desbordamiento de búfer son los dos que vienen a la mente con mayor facilidad. Pero esto variará para cualquier tipo de recurso que quieras proteger y cualquier protocolo que un atacante pueda usar para acceder a él.
Un sistema sofisticado puede combinar:
- puntos de referencia para el comportamiento actual del sistema y observación de los cambios en esos puntos de referencia
- análisis de protocolos y uso indebido de aspectos de esos protocolos
- intentos repetidos de proporcionar una entrada incorrecta o no válida
- cualquier patrón de comportamiento que muestre un tipo de escaneo
- detección de comportamiento significativamente inusual
y más ...
Realmente no hay una respuesta perfecta para lo eterno: "¿hemos sido atacados con éxito?" pregunta, la clave real es conocer un sistema determinado, qué es "normal" y, por lo tanto, qué es "anormal", y conocer un diseño o patrón de comunicación dado lo suficientemente bien como para saber cómo y cuándo se puede utilizar mal