El aumento del número de amenazas en la red y la sofisticación de las mimas hace que, los expertos pongan en tela de juicio los tradicionales Sistemas de Protección contra Intrusión (IPS). Y es que a pesar de que los proveedores se esfuerzan en actualizar más y mejor estos dispositivos a fin de prepararlos contra las nuevas amenazas y técnicas de evasión, no se obtienen avances significativos, porque el problema reside en fallos de concepción de la propia tecnología.
Recientes investigaciones demuestran que el verdadero Talón de Aquiles de los IPS es la normalización del tráfico ya que las evasiones se hacen más frecuentes y avanzadas, y la normalización del tráfico consume mucho tiempo, lo que ralentiza el rendimiento general de la red.
Por eso, los responsables de TI deben garantizar un punto óptimo entre rendimiento y máximo nivel de seguridad. El problema es que, por muy bien que pasen los test de laboratorio, la mayoría de los dispositivos IPS son incapaces de alcanzar este equilibrio entre inspección avanzada y volúmenes altos de tráfico.
Para entender en qué consiste la normalización, imaginemos una conversación políglota en la que necesariamente debemos decodificar un mensaje. Si tratamos de “oír” mejor la conversación –una normalización de tráfico más agresiva- ralentizaremos notablemente la red, algo inaceptable en la era de los requisitos críticos, el comercio electrónico y las redes sociales. He aquí por qué los proveedores son incapaces de resolver fácilmente esta cuestión: el proceso de filtrado está estrechamente ligado a una arquitectura basada en hardware y la normalización sólo se ha dado hasta la fecha a niveles de TCP/IP.
No se puede confiar únicamente en niveles bajos de normalización a nivel IP y en las capas de transporte, ya que las últimas investigaciones han descubierto posibilidades de evasión bajo los IP y sus capas de transporte, incluyendo los protocolos de capa de aplicación. La efectividad de la normalización, por tanto, es limitada, pues los métodos de evasión pueden ser combinados en múltiples capas.
El motor de tráfico alojado en los dispositivos IPS debe evolucionar a medida que lo hagan las técnicas de evasión. Una solución puede ser una inspección actualizada y dinámica que confíe en las mejoras eficientes del software en sí mismo y una actualización remota para el conjunto de firmas y el motor de normalización.