1. Utilizar otros medios de protección y prevencion
1.1. Los programas de protección mas comúnmente usados son los cortafuegos, peor estos pueden ser burlados por lo cual en las empresas se debe de contar con mas elementos que fortalezcan la seguridad de la red. Los intrusos trabajan por etapas o fases como ser:
1.1.1. Fase de vigilancia: En esta etapa el intruso aprende todo sobre el objetivo que desea atacar.
1.1.2. Fase de explotación de servicio: Describe la forma en como el atacante consigue tener privilegios de acceso a la red que esta atacando.
1.1.3. Fase de ocultación de huellas: En esta etapa nos describe todo lo que el atacante hace para no lograr ser detectado
1.1.4. Fase de extracción: Es cuando el atacante a logrado burla la defensa y tiene total acceso a la información a la que buscaba acceder.
2. Sistema detector de intrusos
2.1. Esto se origina con la idea de que se pueda dar de que en algún momento alguna persona mal intencionada trate de tener acceso a los datos de la red, sistema de información o de alguna web, para contrarrestar esto están los sistemas de detección de intrusos. De aquí ser origina el termino instrucción; que es la secuencia de acciones que realiza un usuario no autorizado con el fin de tener un control parcial o completo de un sistema, la detección de intrusos es poder detectar estas actividades que va realizando el intruso.
2.2. Los sistemas de confianza: Son aquellos sistemas que emplean suficientes recursos para permitir el procesamiento simultaneo de información confidencial, esto cabe mencionar por medio de formas de encriptacion. Estos sistemas de confianza nos tienen como objetivos, permitir la revisión de patrones de acceso, y el uso de mecanismos de protección del sistema, permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección, permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor a otro mayor, permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.
3. Escaner de vulnerabilidades
3.1. 1. Escaner basado en maquina
3.1.1. Fue lo primero en utilizarse para la evaluación de vulnerabilidades, se base en utilizar la información de un sistemas para ver errores en permiso de fichero, cuentas de usuarios abiertas por defecto, duplicación de cuentas, etc. De las primeras herramientas empleadas para esto fueron COPS y TIGER de Unix
3.2. 2. Escaner basado a red
3.2.1. Esta en de las mas populares y consiste en realizar ataques a una red e ir almacenando todas las posibles vulnerabilidades que se vayan detectando, hay dos formas de usarlo
3.2.1.1. a) Método de explotación: Que se trata de realizar ataques por medio de códigos y ver cuales fueron efectivos.
3.2.1.2. b. Método de inferencia: El cual nos muestra los posibles intentos que hubieron para tener acceso a la red.
4. Prevención de intrusos
4.1. Son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención con las capacidades de análisis y monitorisacion de los sistemas de detección de intrusos. Este tipo de sistema se considera prácticamente igual al sistema de detección de intrusos ya que utilizan los mismos métodos, e incluso hay quienes toman el sistema de prevención como la evolución del sistema de detección.
5. Sistema de decepción
5.1. Para tener exito en esta area se utlizan varias tecnicas:
5.1.1. 1. Equipo de decepcion: Que busca atraer la atencios de alguno de los agresores, esto es como tender una especie de trampa ya que se deja una maquina no tan segura y por tanto llamativa para poder acceder a la red.
5.1.2. 2. Celdas de aislamiento: Es al igual que el primero que muestra algo atractivo con la diferencia que retiene al agresor en un mismo lugar.
5.1.3. 3. Redes de decepciona: Consiste en hacer un área de red donde solo se encuentren maquinas de decepción para atraer a los intrusos, el objetivo de esto es ver todos los métodos que ellos utilizan para infiltrarse para luego contrarrestar estos métodos.
6. Detección de ataques distribuidos
6.1. Hay distintas propuestas que existen para poder poner en correspondencia los eventos recogidos en distintos equipos de la red, a fin de implementar una detección de ataques e intrusiones distribuida, algunas de ellas son:
6.1.1. 2. Analisis descentralizado
6.1.1.1. Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados. Así, estas propuestas plantean la instalación de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis. Este diseño presenta un claro problema de sobrecarga sobre el punto central de análisis, debido a la gran cantidad de información que este podría llegar a recibir.
6.1.2. 1. Esquemas tradicionales
6.1.2.1. La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durisimas restricciones de tiempo real. Dado que los diferentes fragmentos de información que podrían delatar un ataque distribuido se pueden encontrar en cualquier equipo de la red, es realmente complicado poder llegar a paralelizar este procesado de información.