Il metodo migliore per difendere una rete o una singola macchina è prevenire gli attacchi e contrastarli prima che possano violare la rete e colpire al cuore dell’organizzazione. Molti utenti si affidano ai sistemi di rilevamento delle intrusioni (IDS) per questo motivo. In quest’articolo vedremo a che cosa servono queste servizi di sicurezza informatica e perché vale la pena implementarli in azienda.

  1. Intrusion detection system, che cos’è?
  2. Come funzionano i moderni sistemi Intrusion Detection System
  3. Vantaggi e svantaggi dell’intrusion detection system
  4. IDS/IPS, differenze fra due sistemi di prevenzione
Intrusion detenction system

Intrusion Detection System, che cos’è?

Che cos’è l’IDS?

Il sistema di rilevamento intrusioni (o IDS) è una tecnologia di sicurezza informatica progettata per rilevare e segnalare tentativi di accesso non autorizzato alla rete informatica e ai computer. I servizi di IDS si servono spesso e volentieri di sensori e tecnologie in grado di evidenziare la presenza di attività anomale all’interno di una rete informatica e segnalarlo prontamente all’amministratore di rete.
Al fine di garantire il funzionamento ottimale di questi servizi, gli IDS vengono configurati in ambienti diversi e lavorano in ottica di prevenzione degli attacchi informatici.

Nelle modalità attualmente più utilizzate, quando un IDS rileva un evento sospetto in rete può:

  • inviare un avviso agli amministratori di sistema
  • bloccare il traffico o il tentativo di accesso.

La necessità di attivare un sistema di rilevamento delle minacce cyber deriva dal fatto che non tutti i malware o attacchi hacker si manifestano con sintomi inequivocabili: se pensiamo agli attacchi APT o i più recenti attacchi malware la tendenza è sempre più quella di restare silenti all’interno delle reti per molto tempo. Ecco per quale motivo è necessario che il team informatico di un’azienda si rivolga a specialisti della sicurezza informatica per attivare un sistema IDS.

Gli IDS sono tecnologie sia hardware che software e possono essere implementati a livello di rete o di host.
Infatti, esistono due tipi di IDS:

Rilevamento di rete (NIDS)
monitora il traffico di rete in entrata e in uscita, ispezionando ogni singolo pacchetto dati in transito. Tuttavia si tratta di un sistema di rilevamento che presenta qualche lacuna dal momento che non è in grado di intervenire su comunicazioni crittografate tra due sistemi.

Rilevamento host-based (HIDS)
monitora l’attività di rete sorvegliando i comportamenti di un dispositivo o di un singolo sistema preso in esame. In genere, l’HIDS monitora lo stato del sistema verificando le informazioni memorizzate, sia in RAM che sul file system, i file di log.

Gli IDS sono spesso utilizzati in combinazione con altre tecnologie di sicurezza, come firewall e sistemi di prevenzione delle intrusioni (IPS), per fornire una protezione completa contro gli attacchi informatici.
Tra gli svantaggi generati da queste soluzioni esistono indubbiamente i falsi positivi, ovvero i servizi IDS talvolta segnalano eventi sospetti che in realtà sono legittimi.

Ecco per quale motivo è importante che gli amministratori di sistema configurino e gestiscano attentamente gli IDS, appoggiandosi quando serve ad aziende specializzate: l’obiettivo sarà di garantire che le tecnologie IDS rilevino e vi proteggano dagli attacchi reali.

Il funzionamento dei moderni Intrusion Detection System

I più avanzati sistemi di rilevamento delle intrusioni combinano le due metodologie precedentemente illustrate, con conseguente maggiore tasso di rilevamento degli attacchi informatici.
Il sistema di gestione centrale di questi sistemi ibridi differisce in quanto riceve informazioni sia da applicazioni basate su rete che da applicazioni basate su host.
Tre le funzionalità che rientrano a pieno titolo nel processo di rilevamento cyber attack ritroviamo:

Monitoraggio dati

Il monitoraggio dei dati raccoglie e filtra in anticipo tutte le informazioni necessarie per identificare le intrusioni.
Questi sono solo alcune delle informazioni prese in esame dai sistemi IDS:

  • i file di registro di vari computer e applicazioni di sicurezza
  • le statistiche di sistema come il carico della CPU
  • il numero di connessioni di rete attive
  • il numero di tentativi di accesso consecutivi.

Inoltre, il monitoraggio dei dati nell’IDS ibrido utilizza informazioni sulle connessioni TCP/IP come gli indirizzi di origine e di destinazione, nonché altre proprietà dei pacchetti di dati consegnati e ricevuti dal sensore IDS basato sulla rete.

Analisi

Il monitoraggio invia il flusso di dati raccolti ad un centro di analisi, che ha il compito di elaborare e valutare in tempo reale le attività. La procedura analitica in questo caso è estremamente impegnativa sia a livello hardware (soprattutto in relazione a CPU e RAM) che a livello software.
A tal proposito, nelle grandi reti aziendali la configurazione dei componenti IDS è uno dei compiti più critici affidati agli esperti di sicurezza, ma anche utili, per garantire la sicurezza del perimetro cyber.
A puro scopo informativo, segnaliamo che l’IDS esegue l’analisi dei comportamenti come segue:

  • Tramite approccio Misuse Detection (che può essere tradotto come rilevamento di abusi di rete). Individua in partenza l’insieme dei possibili attacchi informatici, riducendo i falsi positivi, ma potendo individuare solo quelli effettivamente codificati aumenta il rischio di falsi negativi, cioè attacchi effettivamente presenti e non rilevati.
  • L’approccio di Anomaly Based ovvero parliamo di un’analisi del traffico basata su comportamento osservato in precedenze (euristica).

Invio risultati

Infine, il sistema di rilevamento delle intrusioni notifica all’amministratore di rete se è stato rilevato un attacco o un comportamento sospetto del sistema informatico.
Esistono diversi modi per inviare la comunicazione a seconda del potenziale pericolo, come ad esempio:

  • potrebbe essere recapitata una e-mail con spiegazioni sull’attacco;
  • è possibile attivare un avviso locale, come una finestra pop-up sulla console di sicurezza;
  • e un messaggio di allarme può essere inviato a un dispositivo mobile.

Vantaggi e svantaggi di una soluzione IDS Intrusion Detection System

In conseguenza della varietà dei metodi di rilevamento delle intrusioni , questa tecnologia è estremamente utile da includere in un progetto di messa in sicurezza della rete.

Si tratta di un servizio utile non solo ai fini del rilevamento delle minacce note, ma anche per rilevare nuovi modelli di attacco, aumentando così il livello di sicurezza e prevenzione dagli attacchi informatici. Considerate tuttavia che è un errore pensare che un sistema IDS possa sostituire l’azione della protezione firewall. Tuttalpiù, l’IDS può fungere da integrazione al livello di protezione del firewall.

Essendo componenti di rete attivi, anche i sistemi di rilevamento delle intrusioni possono essere oggetto di un attacco, in particolare se l’aggressore è a conoscenza della loro presenza.
L’IDS ad esempio è suscettibile agli attacchi DoS.
Inoltre, un ulteriore rischio che scaturisce da una mala gestione dei servizi IDS comporta la presenza di configurazione errata e genera un numero cospicuo di messaggi di avviso senza che si verifichi un vero accesso non autorizzato.

IDS/IPS, differenze fra due sistemi di prevenzione delle minacce

Il ricorso di intrusion detection si può diramare in due soluzioni: sistemi di prevenzione delle intrusioni (IPS) e di rilevamento delle intrusioni (IDS). Entrambi sono metodi efficaci per proteggere una rete dagli attacchi informatici e dai tentativi d’intrusione non autorizzati. Tuttavia, è importante considerare alcune informazioni quando si utilizzano queste tecnologie:

  1. Affidare la sicurezza informatica ad aziende specializzate.
    In conseguenza al continuo evolversi delle minacce informatiche la migliore protezione IDS o IPS viene fornita e gestita senza dubbio dai team SOC security.
  2. Configurazione dei servizi intrusion detection system alias intrusion detection dataset.
    È importante configurare IPS e IDS seguendo criteri precisi, al fine di assicurare che siano efficaci nel rilevare e proteggere l’organizzazione. Se non vengono gestiti correttamente, possono generare falsi positivi o essere bypassati da attaccanti esperti.
  3. Gestione
    Gli IPS e gli IDS richiedono una manutenzione attenta e continuativa per garantire che siano efficaci nel proteggere il sistema.
    Ciò può includere la manutenzione regolare, l’aggiornamento delle regole e dei modelli di comportamento, e la risoluzione dei problemi quando si verificano falsi positivi o altri errori.
  4. Integrazione
    IPS e IDS funzionano meglio quando sono integrati con altre tecnologie di sicurezza, come firewall e sistemi di autenticazione a più fattori. Questo può aiutare a fornire una protezione completa contro gli attacchi informatici.

In generale, l’utilizzo di servizi network intrusion detection può essere un modo efficace per proteggere una rete o un sistema da attacchi informatici e tentativi d’intrusione non autorizzati. Tuttavia, è importante considerare attentamente le proprie esigenze di sicurezza e fare una valutazione accurata delle opzioni disponibili per determinare se queste tecnologie sono adatte alle proprie esigenze.