Un sistema di rilevamento delle intrusioni (IDS) è uno strumento di sicurezza della rete che monitora il traffico di rete e i dispositivi alla ricerca di attività dannose note, attività sospette o violazioni delle politiche di sicurezza.
Un IDS può aiutare ad accelerare e automatizzare il rilevamento delle minacce di rete avvisando gli amministratori della sicurezza di minacce note o potenziali o inviando avvisi a uno strumento di sicurezza centralizzato. Uno strumento di sicurezza centralizzato come un sistema SIEM (Security Information and Event Management) può combinare dati provenienti da altre fonti per aiutare i team addetti alla sicurezza a individuare e rispondere alle minacce informatiche che potrebbero sfuggire ad altre misure di sicurezza.
Gli IDS supportano anche le operazioni di conformità. Alcune normative, come il Payment Card Industry Data Security Standard (PCI-DSS), richiedono alle organizzazioni di implementare misure di rilevamento delle intrusioni.
Un sistema IDS non può fermare da solo le minacce alla sicurezza. Le funzionalità IDS di oggi sono solitamente integrate (o incorporate) all'interno dei sistemi di prevenzione delle intrusioni (IPS), in grado di rilevare le minacce e di agire automaticamente per prevenirle.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Gli IDS possono essere applicazioni software installate sugli endpoint o dispositivi hardware dedicati connessi alla rete. Alcune soluzioni IDS sono disponibili come servizi cloud. Qualunque sia la sua forma, un IDS utilizza uno o entrambi i metodi principali di rilevamento delle minacce: basati sulle firme o sulle anomalie.
Il rilevamento basato sulle firme analizza i pacchetti di rete alla ricerca di firme di attacchi, caratteristiche o comportamenti unici associati a una specifica minaccia. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.
Un IDS basato su firme mantiene un database di firme di intrusioni con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IDS lo segnala. Per essere efficaci, i database delle firme devono essere aggiornati regolarmente con nuova threat intelligence man mano che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. I nuovi attacchi non ancora analizzati per le firme possono eludere un IDS basato su firme.
I metodi di rilevamento basati sulle anomalie utilizzano l'apprendimento automatico per creare e perfezionare costantemente un modello di riferimento per la normale attività di rete. Quindi confronta l'attività di rete con il modello e contrassegna le deviazioni, ad esempio un processo che utilizza più larghezza di banda del normale o un dispositivo che apre una porta.
Poiché segnala qualsiasi comportamento anomalo, gli IDS basati sulle anomalie spesso riescono a rilevare nuovi attacchi informatici che potrebbero eludere il rilevamento basato sulle firme. Ad esempio, gli IDS basati sulle anomalie possono rilevare exploit zero-day, ovvero attacchi che utilizzano al meglio le vulnerabilità del software prima che lo sviluppatore del software ne venga a conoscenza o abbia il tempo di correggerle.
Ma gli IDS basati sulle anomalie sono anche più soggetti a falsi positivi. Anche l'attività non dannosa, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IDS basato sulle anomalie.
Il rilevamento basato sulla reputazione blocca il traffico proveniente da indirizzi IP e domini connessi a attività dannose o sospette. L'analisi del protocollo con stato si concentra sul comportamento del protocollo: ad esempio, potrebbe individuare un attacco denial-of-service (DoS) rilevando un singolo indirizzo IP, facendo numerose richieste di connessione TCP simultanee in un breve periodo.
Indipendentemente dai metodi utilizzati, quando un IDS rileva una potenziale minaccia o violazione delle politiche, avvisa il team di risposta agli incidenti affinché indaghi. Gli IDS registrano anche gli incidenti di sicurezza, sia nei propri log, sia registrandoli all'interno di uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (vedi di seguito "IDS e altre soluzioni di protezione"). I log degli incidenti possono essere utilizzati per affinare i criteri degli IDS, ad esempio aggiungendo nuove firme di attacchi o aggiornando il modello di comportamento della rete.
Gli IDS sono classificati in base alla posizione in cui si trovano all'interno di un sistema e al tipo di attività che monitorano.
I sistemi di rilevamento delle intrusioni di rete (NIDS) monitorano il traffico in entrata e in uscita verso i dispositivi in tutta la rete. I sistemi NIDS sono posizionati in punti strategici della rete, spesso immediatamente dietro i firewall sul perimetro della rete, in modo da poter segnalare qualsiasi traffico dannoso che vi penetra.
I sistemi NIDS possono anche essere inseriti all'interno della rete per individuare le minacce interne o eventuali hacker che hanno violato gli account degli utenti. Ad esempio, un sistema NIDS può essere posizionato dietro ciascun firewall interno in una rete segmentata per monitorare il traffico fra le sottoreti.
Per evitare di impedire il flusso di traffico legittimo, un NIDS spesso viene posizionato "fuori banda", il che significa che il traffico non lo attraversa direttamente. Un NIDS analizza le copie dei pacchetti di rete piuttosto che i pacchetti stessi. In questo modo, il traffico autorizzato non deve attendere l'analisi e il sistema NIDS sarà comunque in grado di rilevare e contrassegnare il traffico dannoso.
I sistemi di rilevamento delle intrusioni host (HIDS) sono installati su un endpoint specifico, ad esempio un laptop, un router o un server. L'HIDS monitora solo l'attività di quel dispositivo, incluso il traffico in entrata e uscita. Un HIDS funziona in genere eseguendo snapshot periodici dei file critici del sistema operativo e confrontandoli nel tempo. Se l'HIDS nota un cambiamento, ad esempio la modifica dei file di log o l'alterazione delle configurazioni, avvisa il team di sicurezza.
I team addetti alla sicurezza spesso combinano sistemi di rilevamento delle intrusioni basati sulla rete e sistemi di rilevamento delle intrusioni basati sugli host. Il sistema NIDS analizza il traffico nel suo complesso, mentre l'HIDS può aggiungere una protezione supplementare intorno agli asset di alto valore. L'HIDS può inoltre individuare le attività dannose provenienti da un nodo di rete compromesso, come il ransomware che si diffonde da un dispositivo infetto.
Sebbene NIDS e HIDS siano i più comuni, i team addetti alla sicurezza possono utilizzare altri IDS per scopi specifici. Un IDS basato sul protocollo (PIDS) monitora i protocolli di connessione tra server e dispositivi. I PIDS vengono spesso collocati sui server web per monitorare le connessioni HTTP o HTTPS.
Un IDS basato sul protocollo applicativo (APIDS) funziona a livello di applicazione, monitorando i protocolli specifici delle applicazioni. Un APIDS viene spesso distribuito tra un server web e un database SQL per rilevare l'SQL injection.
Mentre le soluzioni IDS possono rilevare numerose minacce, gli hacker sono in grado di aggirarle. I fornitori di IDS rispondono aggiornando le proprie soluzioni per tenere conto di queste tattiche. Tuttavia, questi aggiornamenti di soluzione creano una sorta di corsa agli armamenti, con gli hacker e gli IDS che cercano di rimanere sempre un passo avanti rispetto all'altro.
Alcune tattiche comuni di evasione degli IDS includono:
Attacchi DDoS (Distributed Denial of Service): mettono offline gli IDS inondandoli di traffico ovviamente dannoso proveniente da più fonti. Quando le risorse dell'IDS sono sopraffatte dalle finte minacce, gli hacker si intrufolano.
Spoofing : falsificazione di indirizzi IP e record DNS per far sembrare che il traffico provenga da un'origine affidabile.
Frammentazione: la suddivisione di malware o altri payload dannosi in pacchetti più piccoli, che oscura la firma e impedisce il rilevamento. Ritardando strategicamente l'invio dei pacchetti o inviandoli in ordine sparso, gli hacker impediscono che gli IDS possano riassemblarli e notare l'attacco.
Crittografia: l'utilizzo di protocolli crittografati per aggirare un IDS se quest'ultimo non dispone della chiave di decodifica corrispondente.
Sfinimento dell'operatore: generare un gran numero di avvisi IDS per distrarre il team di risposta agli incidenti dalle attività reali.
Gli IDS non sono strumenti autonomi. Sono progettati come parte di un sistema di sicurezza informatica olistico e spesso sono strettamente integrati con una o più delle seguenti soluzioni di sicurezza:
Gli avvisi IDS vengono spesso incanalati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzato. L'integrazione degli IDS con i SIEM consente ai team addetti alla sicurezza di arricchire gli avvisi IDS con informazioni sulle minacce e dati provenienti da altri strumenti, filtrare falsi allarmi e assegnare priorità agli incidenti per la correzione.
Come osservato in precedenza, un IPS monitora il traffico di rete alla ricerca di attività sospette, come gli IDS, e intercetta le minacce in tempo reale, interrompendo automaticamente le connessioni o attivando altri strumenti di sicurezza. Dal momento che gli IPS devono fermare gli attacchi informatici, solitamente vengono posizionati all'interno, il che significa che tutto il traffico deve attraversare l'IPPS prima di poter raggiungere il resto della rete.
Alcune organizzazioni implementano un IDS e un IPS come soluzioni separate. Più spesso, IDS e IPS vengono combinati in un unico sistema di rilevamento e prevenzione delle intrusioni (IDPS) che rileva le intrusioni, le registra, avvisa i team addetti alla sicurezza e risponde in modo automatico.
IDS e firewall sono complementari. I firewall sono rivolti all'esterno della rete e hanno funzione di barriera utilizzando set di regole predefinite per consentire o impedire il traffico. Gli IDS spesso si trovano vicino ai firewall e aiutano a fermare tutto ciò che li supera. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IDS e IPS integrate.
Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.
Soluzioni trasformative basate su AI che ottimizzano il tempo degli analisti accelerando il rilevamento delle minacce, accelerando le risposte e proteggendo l'identità e i set di dati degli utenti.
Ottieni maggiore controllo sulla tua infrastruttura cloud e proteggi i tuoi server e la tua rete.
Un piano formale di risposta agli incidenti consente ai team di sicurezza informatica di limitare o prevenire i danni derivanti da attacchi informatici o violazioni della sicurezza.
NDR utilizza l'intelligenza artificiale, l'apprendimento automatico e l'analisi comportamentale per rilevare e rispondere ad attività della rete sospette.
SIEM monitora e analizza gli eventi relativi alla sicurezza in tempo reale e registra i dati di sicurezza per scopi di conformità o controllo.