La tecnología “stateful packet inspection” está obsoleta: todavía se considera sinónimo de «buen firewall» pero no identifica ni previene todos los ataques. Como los fabricantes de firewalls lo saben, añaden funcionalidades de prevención e identificación de intrusos basadas en el reconocimiento de patrones o «firmas». Sin embargo, cualquier variante que modifique un solo carácter en un ataque, anula automáticamente su eficacia. Debido a esto se invierten muchos recursos y los gastos repercuten en los clientes que compran sistemas “parcheados” a precios excesivos.
Un sistema de seguridad basado en firmas no ofrece protección proactiva, pues no protege frente a amenazas desconocidas. Cuando una nueva aparece, la matriz tendrá que actualizarse primero incorporando una nueva firma, lo que tarda días.
No ofrece análisis en tiempo real: La base de datos de firmas es enorme y, para acelerar el análisis, algunos proveedores sólo aumentan la potencia de sus ASICs.
La protección es incompleta contra amenazas conocidas: Para “aligerar” el análisis se eliminan las firmas antiguas, con consecuencias nefastas en la protección real. Día a día, el laboratorio de análisis de seguridad de NetAsqhackea con éxito cortafuegos conocidos usando vulnerabilidades de ¡2002!
Los sistemas basados en firmas no pueden identificar de manera proactiva «anomalías de comportamiento», ni bloquear cualquier flujo de datos por una simple sospecha; sólo lo hacen si coincidecon la matriz. Son insuficientes para las necesidades de seguridad de pymes distribuidas geográficamente y, sin embargo, estas «soluciones» todavía están “protegiendo” los datos críticos de bancos, hospitales o administraciones públicas.
Por tanto, antes de comprar un sistema con funciones de prevención de intrusiones compruebe el funcionamiento mediante activación de IPS. Además, sométalas a rigurosas “prueba de campo”; una estrategia de compra basada en la «mejor marca» o la «mejor oferta» en seguridad puede ser la equivocada, generando más problemas que beneficios.
