Che cos'è un sistema di rilevamento delle intrusioni (IDS)?

Un IDS può aiutare ad accelerare e automatizzare il rilevamento delle minacce di rete avvisando gli amministratori della sicurezza in merito a minacce note o potenziali, oppure inviando avvisi a uno strumento di sicurezza centralizzato. Uno strumento di sicurezza centralizzato, come un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) può combinare dati provenienti da altre fonti per aiutare i team addetti alla sicurezza a individuare e rispondere alle minacce informatiche che potrebbero sfuggire ad altre misure di sicurezza.

Gli IDS supportano anche le operazioni di conformità. Alcune normative, come il Payment Card Industry Data Security Standard (PCI-DSS), richiedono alle organizzazioni di implementare misure di rilevamento delle intrusioni.

Un sistema IDS non può fermare da solo le minacce alla sicurezza. Le funzionalità IDS sono in genere integrate o incorporate nei sistemi di prevenzione delle intrusioni (IPS), in grado di rilevare le minacce alla sicurezza e agire automaticamente per prevenirle.

Gli IDS possono essere applicazioni software installate sugli endpoint o dispositivi hardware dedicati connessi alla rete. Alcune soluzioni IDS sono disponibili come servizi cloud. Qualunque sia la sua forma, un IDS utilizza uno o entrambi i metodi principali di rilevamento delle minacce: basati sulle firme o sulle anomalie.

Il rilevamento basato sulle firme analizza i pacchetti di rete alla ricerca di firme degli attacchi, ovvero caratteristiche o comportamenti unici associati a una specifica minaccia. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.

Un IDS basato su firme mantiene un database delle firme degli attacchi con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IDS lo segnala. Per essere efficaci, i database delle firme devono essere aggiornati regolarmente con nuova threat intelligence via via che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. I nuovi attacchi le cui firme non sono ancora state analizzate possono eludere un IDS basato sulle firme.

I metodi di rilevamento basati su anomalie usano il machine learning per creare e perfezionare costantemente un modello baseline per la normale attività di rete. Questi metodi confrontano quindi l'attività di rete con il modello e contrassegnano le deviazioni, ad esempio un processo che utilizza più larghezza di banda del normale o un dispositivo che apre una porta.

Poiché segnalano qualsiasi comportamento anomalo, gli IDS basati su anomalie spesso riescono a rilevare nuovi attacchi informatici che potrebbero eludere il rilevamento basato sulle firme. Ad esempio, gli IDS basati su anomalie possono rilevare exploit zero-day, ovvero attacchi che utilizzano le vulnerabilità del software prima che lo sviluppatore ne venga a conoscenza o abbia il tempo di correggerle.

Ma gli IDS basati sulle anomalie sono anche più soggetti a falsi positivi. Anche l'attività non dannosa, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IDS basato sulle anomalie.

Il rilevamento basato sulla reputazione blocca il traffico proveniente da indirizzi IP e domini connessi a attività dannose o sospette. L'analisi stateful del protocollo si concentra sul comportamento del protocollo: ad esempio, potrebbe identificare un denial-of-service (DoS) rilevando un singolo indirizzo IP che effettua molte richieste di connessione TCP simultanee in un breve periodo.

Indipendentemente dal metodo utilizzato, quando un IDS rileva una potenziale minaccia o una violazione delle policy, avvisa il team di risposta agli incidenti affinché indaghi. Gli IDS registrano anche gli incidenti di sicurezza, sia nei propri log che all'interno di uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (vedi "IDS e altre soluzioni di sicurezza"). I log degli incidenti possono essere utilizzati per affinare i criteri degli IDS, ad esempio aggiungendo nuove firme di aggressione o aggiornando il modello di comportamento della rete.

Gli IDS sono classificati in base alla posizione in cui si trovano all'interno di un sistema e al tipo di attività che monitorano.

I sistemi di rilevamento delle intrusioni di rete (NIDS) monitorano il traffico in entrata e in uscita verso i dispositivi in tutta la rete. I sistemi NIDS sono posizionati in punti strategici della rete, spesso immediatamente dietro i firewall sul perimetro della rete, in modo da poter segnalare qualsiasi traffico dannoso che vi penetra.

I sistemi NIDS possono anche essere inseriti all'interno della rete per individuare le minacce interne o eventuali hacker che hanno violato gli account degli utenti. Ad esempio, un sistema NIDS può essere posizionato dietro ciascun firewall interno in una rete segmentata per monitorare il traffico fra le sottoreti.

Per evitare di impedire il flusso di traffico legittimo, un NIDS spesso viene posizionato "fuori banda", il che significa che il traffico non lo attraversa direttamente. Un NIDS analizza le copie dei pacchetti di rete piuttosto che i pacchetti stessi. In questo modo, il traffico autorizzato non deve attendere l'analisi e il sistema NIDS sarà comunque in grado di rilevare e contrassegnare il traffico dannoso.

I sistemi di rilevamento delle intrusioni host (HIDS) sono installati su un endpoint specifico, ad esempio un laptop, un router o un server. L'HIDS monitora solo l'attività di quel dispositivo, incluso il traffico in entrata e uscita. Un HIDS funziona in genere eseguendo snapshot periodici dei file critici del sistema operativo e confrontandoli nel tempo. Se l'HIDS nota un cambiamento, ad esempio la modifica dei file di log o l'alterazione delle configurazioni, avvisa il team di sicurezza.

I team addetti alla sicurezza spesso combinano sistemi di rilevamento delle intrusioni basati sulla rete e sistemi basati su host. Il NIDS analizza il traffico nel suo complesso, mentre l'HIDS può aggiungere una protezione supplementare per gli asset di alto valore. L'HIDS può anche identificare le attività dannose provenienti da un nodo di rete compromesso, come il ransomware, che si diffonde da un dispositivo infetto.

Sebbene NIDS e HIDS siano i più comuni, i team addetti alla sicurezza possono utilizzare altri IDS per scopi specifici. Un IDS basato sul protocollo (PIDS) monitora i protocolli di connessione tra server e dispositivi. I PIDS vengono spesso collocati sui server web per monitorare le connessioni HTTP o HTTPS.

Un IDS basato sul protocollo applicativo (APIDS) funziona a livello di applicazione, monitorando i protocolli specifici delle applicazioni. Un APIDS viene spesso distribuito tra un server web e un database SQL per rilevare l'SQL injection.

Mentre le soluzioni IDS possono rilevare numerose minacce, gli hacker sono in grado di aggirarle. I fornitori di IDS rispondono aggiornando le proprie soluzioni per tenere conto di queste tattiche. Tuttavia, questi aggiornamenti di soluzione creano una sorta di corsa agli armamenti, con gli hacker e gli IDS che cercano di rimanere sempre un passo avanti rispetto all'altro.

Alcune tattiche comuni di evasione degli IDS includono:

• Attacchi DDoS (Distributed Denial of Service): mettono offline gli IDS inondandoli di traffico palesemente dannoso proveniente da più fonti. Quando le risorse dell'IDS sono sopraffatte dalle finte minacce, gli hacker si intromettono.

• Spoofing: falsificazione di indirizzi IP e record DNS per far sembrare che il traffico provenga da una fonte affidabile.

• Frammentazione: la suddivisione di malware o altri payload dannosi in pacchetti più piccoli, che oscura la firma e impedisce il rilevamento. Ritardando strategicamente l'invio dei pacchetti o inviandoli in ordine sparso, gli hacker impediscono che gli IDS possano riassemblarli e notare l'attacco.

• Crittografia: l'utilizzo di protocolli crittografati per aggirare un IDS se quest'ultimo non dispone della chiave di decodifica corrispondente.

• Affaticamento degli operatori: generare un gran numero di avvisi IDS per distrarre il team di risposta agli incidenti dalle attività reali.

Gli IDS non sono strumenti autonomi. Sono progettati come parte di un sistema di sicurezza informatica olistico e spesso sono strettamente integrati con una o più delle seguenti soluzioni di sicurezza:

Gli avvisi IDS vengono spesso incanalati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzato. L'integrazione degli IDS con i SIEM consente ai team addetti alla sicurezza di arricchire gli avvisi IDS con informazioni sulle minacce e dati provenienti da altri strumenti, filtrare falsi allarmi‌ e assegnare priorità agli incidenti per la correzione.

Come osservato in precedenza, un IPS monitora il traffico di rete alla ricerca di attività sospette, come gli IDS, e intercetta le minacce in tempo reale, interrompendo automaticamente le connessioni o attivando altri strumenti di sicurezza. Dal momento che gli IPS devono fermare gli attacchi informatici, solitamente vengono posizionati all'interno, il che significa che tutto il traffico deve attraversare l'IPPS prima di poter raggiungere il resto della rete.

Alcune organizzazioni implementano un IDS e un IPS come soluzioni separate. IDS e IPS vengono più spesso combinati in un unico sistema di rilevamento e prevenzione delle intrusioni (IDPS) che rileva le intrusioni, le registra, avvisa i team addetti alla sicurezza e risponde in modo automatico.

IDS e firewall sono complementari. I firewall sono rivolti all'esterno della rete e hanno funzione di barriera utilizzando set di regole predefinite per consentire o impedire il traffico. Gli IDS spesso si trovano vicino ai firewall e aiutano a fermare tutto ciò che li supera. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IDS e IPS integrate.