Las desventajas de los sistemas de detección de intrusos

A medida que las empresas continúen aumentando su uso de Internet para usos comerciales, aumentarán los casos de intrusiones de TI. Estas intrusiones se conocen como infracciones de seguridad y dan como resultado la pérdida de información patentada, si la intrusión puede acceder a información confidencial de la empresa. La instalación de software de detección de intrusos es la primera línea de defensa para la mayoría de las empresas. Si bien el software de detección de intrusos puede ayudar con la seguridad de la red, el software tiene algunas desventajas.

Direcciones de origen

El software de detección de intrusos proporciona información basada en la dirección de red asociada con el paquete IP que se envía a la red. Esto es beneficioso si la dirección de red contenida en el paquete IP es precisa. Sin embargo, la dirección contenida en el paquete IP podría estar falsificada o codificada. Cualquiera de estos escenarios deja al técnico de TI persiguiendo fantasmas y sin poder detener las intrusiones a la red.

Paquetes cifrados

El software de detección de intrusos no procesa los paquetes cifrados. Por lo tanto, el paquete cifrado puede permitir una intrusión en la red que no se descubre hasta que se producen intrusiones en la red más importantes. Los paquetes cifrados también se pueden configurar para que se activen en una fecha o hora específica una vez que se hayan plantado en la red. Esto podría liberar un virus u otro error de software, que podría evitarse si el software de detección de intrusos pudiera procesar paquetes cifrados.

Módulo Analítico

El módulo analítico tiene una capacidad limitada para analizar la información de origen que se recopila durante la detección de intrusos. El resultado de este límite es que solo se almacena en búfer una parte de la información de origen. Si bien un profesional de TI que supervisa el sistema recibirá una alerta de que se ha detectado un comportamiento anormal, no podrá saber de dónde se originó el comportamiento. La respuesta a esta información solo puede ser intentar detener el acceso no autorizado a la red. Si se pudiera obtener más información, el profesional de TI podría adoptar un enfoque defensivo para evitar futuras intrusiones antes de que ocurran.

Falsas alarmas

Los sistemas de detección de intrusos pueden detectar un comportamiento que no es normal para el uso promedio de la red. Si bien es bueno poder detectar un uso anormal de la red, la desventaja es que el software de intrusión puede crear una gran cantidad de falsas alarmas. Estas falsas alarmas se incrementan en redes donde hay un gran número de usuarios. Para evitar perseguir estas falsas alarmas, los profesionales de TI deben recibir una amplia capacitación para que puedan reconocer qué es una falsa alarma y qué no lo es. El costo de completar esta capacitación es otra desventaja del software de detección de intrusos con el que las empresas deben lidiar.