En un artículo anterior expliqué como instalar de forma sencilla un sistema de detección de intrusos (IDS), más concretamente Snort con la interfaz Snorby . Hoy voy a mostrar la potencia de este tipo de aplicaciones a través de un ejemplo que me encontré en mi trabajo como consultor. Para situarnos un poco imaginemos una PYME sin ningún responsable del área de sistemas, como muchas en España. Cuando llegas tardas un tiempo en conocer el funcionamiento de todo el sistema (ya que no hay una persona a quien consultarle las dudas) y un IDS ayuda mucho en esta tarea detectando anomalías en el tráfico de red de la organización. En la primera imagen (vista del último año) se observa que al principio se detectaron mas de 70 incidencias clasificadas como graves y muchísimas leves, las medias las provoqué yo probando con el nmap. Ésto me llevó a investigar un poco más y resultó que el antivirus no escaneaba (o no lo hacía bien del todo) un tipo de ficheros específico de una aplicació...
... mind overflow ...