Gli Intrusion Detection System sono sistemi di difesa importantissimi che ogni azienda dovrebbe adottare per proteggere il proprio perimetro dagli hacker.
Leggi quest’articolo per capire cosa sono e come usarli per garantire sicurezza in maniera efficace.
Indice dei contenuti
Cos’è l’Intrusion Detection System
L’Intrusion Detection System – o IDS – è il costante monitoraggio del perimetro cyber di un’azienda.
Può essere di tipo hardware o software e individua gli accessi non autorizzati a reti o computer.
Una sorta di sistema di vigilanza che riconosce e previene ogni tipo di attacco con tempestività e precisione.
Il vantaggio è che, come dice la parola stessa Detection, l’attacco viene sì rilevato, ma anche identificato, dando informazioni importanti per potersi proteggere.
Un IDS consente infatti di analizzare il traffico di rete in modo molto più approfondito di un firewall, non limitandosi a esaminare gli header dei pacchetti, ma controllandone anche il contenuto per valutare il grado di rischio di ciò che sta transitando.
Un sistema difensivo importante se si considera che gli attacchi sono molto più di quelli che si pensa e capita spesso che le aziende ne siano vittime ignare e inconsapevoli.
Avere quindi dalla propria parte uno strumento che osserva e sorveglia in modo costante, è sicuramente un’arma in più per ogni azienda.
Come funziona un Intrusion Detection System
Un Intrusion Detection System è composto da speciali sensori che ricevono informazioni, un motore che analizza i dati, un pannello di monitoraggio e un database contenente le regole e le policy necessarie per identificare anomalie o violazioni.
Si basa quindi su un sistema di rilevamento che funziona grazie a dei sensori, posizionati in punti strategici per rilevare le minacce e comunicarle ai tecnici dopo che le informazioni sono state processate dai server.
I sensori devono essere collocati con attenzione: individuare i punti di posizionamento corretti è infatti fondamentale per garantire una protezione efficace.
Si devono scegliere i punti del sistema considerati critici e più soggetti a diventare bersaglio degli hacker, come router, gateway, i punti della rete più esposti e le componenti che racchiudono dati sensibili, ad esempio database e server interni.
In questo modo è possibile raccogliere e filtrare i dati necessari per rilevare intrusioni, analizzando dati campione e informazioni di sistema.
I metodi di analisi
Passando alla fase di analisi vera e propria, è utile sapere che per rilevare una minaccia in tempo reale, un IDS può seguire due diversi metodi:
- Misuse Detection: si prendono in considerazione i segni caratteristici – chiamati anche signature action – delle diverse tipologie di scenari conosciuti e si confrontano tra loro. È una tecnica che genera un basso numero di falsi positivi ed è veloce e affidabile.
Lo svantaggio è che si limita ai pattern conosciuti e impostati nel sistema, non riuscendo quindi a individuare ogni tipologia di intrusione possibile. - Anomaly Detection: si analizza il sistema individuando le anomalie che non corrispondono ai profili di normale utilizzo, sfruttando dati statistici e basandosi sulle caratteristiche dello stesso. Rispetto al sistema di tipo Misuse, è più flessibile e – grazie ad algoritmi di intelligenza artificiale e machine learning – può imparare ed evolversi. Lo svantaggio è che il numero di falsi positivi è alto e in più, per prevedere gli attacchi, richiede un monitoraggio intenso e complicato.
Il grosso vantaggio è che può rilevare anche le intrusioni non ancora conosciute.
Tutte le informazioni raccolte vengono poi comunicate – tramite email, messaggi di allarme o allarmi locali – al team di competenza addetto alla sicurezza.
Tutti i vantaggi e gli svantaggi di un Intrusion Detection System
Perché conviene adottare un Intrusion Detection System?
Abbiamo visto che rispetto ad altri sistemi difensivi riesce ad individuare certi tipi di minacce con più facilità.
A differenza di un firewall può infatti analizzare i pacchetti fino al livello più alto del modello ISO/OSI e prevenire anche schemi di attacco nuovi.
Non si deve però pensare che un IDS possa, da solo, provvedere all’intero sistema di sicurezza di un’azienda: l’ideale sarebbe integrarlo in un sistema difensivo completo, dotato di diverse componenti che insieme sono molto importanti per rilevare gli attacchi.
Lo svantaggio di un Intrusion Detection System è che, essendo a tutti gli effetti una componente di rete, può a sua volta diventare bersaglio di un attacco e non essere più in grado di svolgere la sua funzione.
Inoltre bisogna valutare i costi di questo sistema di sicurezza, dato che richiede un ambiente hardware adeguato e all’altezza.
NIDS e HIDS: due IDS a confronto
Esistono due diversi tipi di IDS: i NIDS e gli HIDS.
Vediamo nel dettaglio quali sono le caratteristiche e le differenze.
Cosa sono i NIDS
I NIDS – o Network Intrusion Detection System – sono IDS che monitorano la rete e il comportamento degli utenti all’interno della stessa.
Funzionano particolarmente bene se integrati con un firewall, perché entrambi vigilano i pacchetti IP e il traffico di rete.
Di solito vengono installati sopra o vicino a un gateway o in prossimità di una porta di uno switch.
Analizzano i pacchetti in transito e ne consentono il passaggio, indipendentemente dal fatto che siano o no indirizzati a una particolare macchina: i NIDS, infatti, controllano regolarmente se stessi e le varie macchine.
Cosa sono gli HIDS
Gli HIDS – o Host Based Intrusion Detection System – sono sistemi di difesa installati su host che proteggono un computer come se fosse un antivirus di alto livello.
Analizzano i programmi in esecuzione e il loro utilizzo delle risorse, sorvegliando lo stato del sistema, l’accesso alle risorse condivise e la memorizzazione delle informazioni.
L’obiettivo è individuare possibili tracce lasciate dagli hacker al loro passaggio, esaminando tutto ciò che viene installato senza autorizzazione.
Per avere un controllo totale e un forte sistema di difesa, i NIDS e gli HIDS dovrebbero essere usati insieme in modo che si completino gli uni con gli altri.
