Desafíos con sistemas de detección de intrusos basado en host

Sistemas de detección de intrusos basado en host están dirigidas a la recopilación de información acerca de la actividad en un solo sistema en particular, o de host. Estos funcionarios basados en host, que se refieren a veces como sensores, por lo general se instalan en una máquina que se susceptible a posibles ataquessegún investigadores de Seguridad de Datos en México.

El término "host" se refiere a un equipo individual, por lo tanto sería necesario un sensor separado para cada máquina. Sensores trabajan mediante la recopilación de datos sobre los eventos que pasan en el sistema que se está supervisando. Estos datos se registran con un mecanismo de sistema llamado registros de auditoría. Otras fuentes, de las cuales un sensor basado en host puede obtener los datos, incluyen los registros del sistema, otros registros generados por los procesos del sistema operativo, y el contenido de los objetos que no se reflejan en los mecanismos de auditoría del sistema operativo y de en mecanismo de logging. Empresa de Pruebas de Penetración en México, señala que dado que los sistemas basados en host se basan en los registros de auditoría, entonces eso causa limitaciones porque estos registros de auditoría, no son de misma ambiente y arquitectura como de sistema de detección de intrusos.

Como resultado, esto mecanismo de registros de auditoria no soporta necesariamente las necesidades del sistema de detección de intrusos. Eso le lleva a algunos a concluir que el tener los sistemas basados en host es muy complicado ya que necesita modificar el código del kernel del sistema operativo para generar la información del evento que sirve para el sistema de detección de intrusos.

Según Dave Smith experto de seguridad de datos en México, la información recopilada a través de registros de auditoría puede armar el sensor basado en host con datos útiles sobre el sistema y sus usuarios. El sensor basado en host puede recuperar el proceso cual inicio el evento, y las identificaciones de usuario actuales y originales asociado con ese evento, en caso de que hayan cambios en identificación de usuarios. Estas piezas de información puede ser crucial en la determinación de qué programa y por lo que el usuario se originó un ataque potencial de la red, lo que obviamente le ayudará a detener los ataques futuros. Una crítica común de los sistemas basados en host reside en la cantidad de datos que pueden ofrecer. La configuración de los sensores debe obviamente recopilar información suficientemente detallada para identificar anomalías en un host, por lo que los más refinados los datos capturados están, debería funcionar mejor el sensor. El problema es que, como los sensores se reúnen los niveles más finos de detalle, se acumulan grandes cantidades de datos que ocupan el almacenamiento significativo. Además, debido a que, tanto el volumen y la complejidad de datos, esta especie de ironía se convierte en un trabajo que los diseñadores y analistas de empresa de pruebas de penetración en México deben superar para que los sensores basados en host sirven bien y ayudar a organización en lugar que dar mas problemas.