Le aziende usano, principalmente, due tipi di sistemi per affrontare la minaccia delle intrusioni nella rete: Intrusion Detection System (IDS) e l’Intrusion Prevention System (IPS). Sebbene questi due sistemi siano molto simili, è importante comprendere gli aspetti che li contraddistinguono.
L’Intrusion Detection System (IDS) opera attraverso un processo nel quale tutti gli eventi che accadono nella rete sono monitorati e analizzati per individuare possibili incidenti di violazione dei marcatori di sicurezza. Questo è un processo di tipo reattivo, col quale tutte le attività di rete in entrata e in uscita sono monitorate
e viene riportato qualsiasi segno di intrusione che potrebbe compromettere il sistema. La principale funzione quindi è quella di inviare alert quando vengono individuate attività di questo tipo e questo è il motivo per il quale è riconosciuto comunemente come un sistema di monitoraggio passivo.
L’IDS usa le seguenti tecniche per individuare un attacco:
– Individuazione in base alla firma
In questo caso l’IDS individua un attacco con un pattern o una firma che corrisponde ad un tipo di attacco già conosciuto. Le firme sono comparate a quelle già individuate in attacchi avvenuti nel passato. Ad esempio, il sistema IPS segnala un’email di posta elettronica con una riga di oggetto come “Immagini gratuite” in quanto è una nota firma di malware.
– Individuazione in caso di anomalie
Col sistema di individuazione delle anomalie l’IDS confronta le attività di rete in corso con un profilo di normali attività di rete. Quando l’attività di rete sotto osservazione si presenta anomala rispetto al profilo normale, il sistema invia la segnalazione. Ad esempio l’IDS individua un incidente quando osserva grandi quantità di dati o un flusso sulla rete notevolmente superiore al profilo normale. Il limite di questo tipo di individuazione è che il profilo deve essere costantemente aggiornato perché potrebbero verificarsi falsi positivi.
L’Intrusion Prevention System (IPS) è un passo avanti all’IDS in termini di capacità. Dove l’IDS è un meccanismo “di reazione”, l’IPS è quel che si definisce un meccanismo proattivo: fa un passo avanti alla mera individuazione, cercando di impedire che la minaccia rilevata possa colpire effettivamente danneggiando la rete aziendale. E’ un meccanismo di controllo attivo che monitora il traffico in rete. Individua e segnala tentativi di exploit delle vulnerabilità che gli attaccanti possono cercare di sfruttare per arrestare una applicazione e il controllo del sistema.
Alcune delle operazioni compiute dall’IPS sono:
– Termine connessione di rete
L’IPS può tentare di bloccare un attacco individuato entro la rete terminando la connessione utilizzata per l’attacco e bloccando l’accesso al target dall’account sotto attacco. – Attivazione di controlli di sicurezza pre impostati
Una volta che viene rilevata una vulnerabilità o un attacco all’interno di un host, l’IPS può tentare di impedire danni applicando alcuni controlli di sicurezza pre impostati, scaricare patch o riconfigurando le impostazioni del firewall. – Rendere innocuo un attacco dannoso
L’IPS può tentare di prevenire un attacco anche rendendolo innocuo, ad esempio rimuovendo un allegato dannoso da una email compromessa.
