Un sistema di rilevazione delle intrusioni (IDS) è uno strumento di sicurezza della rete che monitora il traffico di rete e i dispositivi alla ricerca di attività dannose note, attività sospette o violazioni delle politiche di sicurezza.
Un IDS aiuta ad accelerare e automatizzare la rilevazione delle minacce sulla rete avvisando gli amministratori della sicurezza di minacce note o potenziali, oppure inviando avvisi a uno strumento di sicurezza centralizzata (come un SIEM, o sistema di gestione delle informazioni e degli eventi di sicurezza). In questo modo, le informazioni possono essere combinate con i dati provenienti da altre origini, aiutando i team di sicurezza a identificare e a rispondere a minacce informatiche che, altrimenti, sarebbero passate indisturbate.
Gli IDS supportano anche le operazioni di conformità. Alcune normative, come il Payment Card Industry Data Security Standard (PCI-DSS), richiedono alle organizzazioni di implementare misure di rilevamento delle intrusioni.
Un IDS non può fermare da solo le minacce alla sicurezza. Le funzionalità IDS di oggi sono solitamente integrate (o incorporate) all'interno dei sistemi di prevenzione delle intrusioni (IPS), in grado di rilevare le minacce e di intervenire automaticamente per prevenirle.
Gli IDS possono essere applicazioni software installate sugli endpoint o dispositivi hardware dedicati connessi alla rete. Alcune soluzioni IDS sono disponibili come servizi cloud. Quale che sia la sua forma, un IDS utilizzerà uno o più metodi principali di rilevamento delle minacce: quelli basati sulla firma o sulle anomalie.
Il rilevamento basato sulla firma analizza i pacchetti di rete per individuare le firme di intrusione, ovvero caratteristiche o comportamenti unici CONNESSI a una minaccia specifica. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.
Un IDS basato su firma mantiene un database di firme di intrusioni con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IDS lo segnala. Per essere efficaci, i database delle firme devono essere aggiornati regolarmente con nuova threat intelligence man mano che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. Ma i nuovi attacchi non ancora stati analizzati per le firme possono eludere un IPS basato su firme.
I metodi di rilevamento basati sulle anomalie utilizzano l'apprendimento automatico per creare e perfezionare in modo continuo un modello di riferimento per la normale attività della rete. Confronta poi l'attività di rete con il modello e contrassegna le deviazioni, ad esempio un processo che utilizza una larghezza di banda maggiore rispetto a quella solitamente utilizzata o un dispositivo che apre una porta solitamente chiusa.
Poiché segnalano tutti i comportamenti insoliti, gli IDS basati sull'anomalia spesso riescono a identificare anche attacchi informatici nuovi che potrebbero eludere il rilevamento basato sulla firma. Ad esempio, gli IDS basati sulle anomalie possono rilevare exploit zero-day, ovvero attacchi che sfruttano le vulnerabilità del software prima che lo sviluppatore del software ne venga a conoscenza o abbia il tempo di correggerli .
Ma gli IDS basati sulle anomalie sono anche più soggetti a falsi positivi. Anche l'attività benigna, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IDS basato su anomalie.
Il rilevamento basato sulla reputazione blocca il traffico proveniente da indirizzi IP e domini connessi a attività dannose o sospette. L'analisi del protocollo con stato si concentra sul comportamento del protocollo: ad esempio, potrebbe identificare un denial-of-service (DoS) rilevando un singolo indirizzo IP che effettua molte richieste di connessione TCP simultanee in un breve periodo.
Quali che siano i metodi utilizzati, quando un IDS rileva una potenziale minaccia o una violazione delle politiche, avvisa il team di risposta agli incidenti affinché indaghi. Gli IDS registrano anche gli incidenti di sicurezza, sia nei propri log che registrandoli all'interno di uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (vedi "IDS e altre soluzioni di protezione", di seguito). I log incidenti possono essere utilizzati per affinare i criteri degli IDS, ad esempio aggiungendo nuove firme di aggressione o aggiornando il modello di comportamento della rete.
Gli IDS sono classificati in base alla posizione in cui si trovano all'interno di un sistema e al tipo di attività che monitorano.
I sistemi di rilevamento delle intrusioni di rete (NIDS) monitorano il traffico in entrata e in uscita verso i dispositivi in tutta la rete. I NIDS sono posizionati in punti strategici della rete. Spesso si trovano immediatamente dietro i firewall sul perimetro della rete in modo da poter segnalare il traffico dannoso che riesce a penetrare. I NIDS possono anche essere inseriti all'interno della rete per individuare le minacce interne o eventuali hacker che hanno violato gli account degli utenti. Ad esempio, un NIDS può essere posizionato dietro ciascun firewall interno in una rete segmentata per monitorare il traffico fra le sottoreti.
Per evitare di bloccare il flusso di traffico autorizzato, un NIDS spesso viene collocato "fuori banda", il che significa che il traffico non lo attraversa direttamente. Un NIDS analizza le copie dei pacchetti di rete piuttosto che i pacchetti stessi. In questo modo, il traffico autorizzato non deve attendere l'analisi e il NIDS sarà comunque in grado di rilevare e contrassegnare il traffico dannoso.
I sistemi di rilevamento delle intrusioni host (HIDS) sono installati su un endpoint specifico, ad esempio un laptop, un router o un server. L'HIDS monitora solo l'attività di quel dispositivo, incluso il traffico in entrata e uscita. Un HIDS funziona in genere eseguendo snapshot periodici dei file critici del sistema operativo e confrontandoli nel tempo. Se l'HIDS nota un cambiamento, ad esempio la modifica dei file di log o l'alterazione delle configurazioni, avvisa il team di sicurezza.
I team di sicurezza spesso combinano sistemi di rilevamento delle intrusioni basati sulla rete e sistemi basati sugli host. Il NIDS analizza il traffico nel suo complesso, mentre l'HIDS può aggiungere una protezione supplementare intorno alle risorse di alto valore. L'HIDS può anche identificare le attività dannose provenienti da un nodo di rete compromesso, come il ransomware che si diffonde da un dispositivo infetto.
Sebbene NIDS e HIDS siano i più comuni, i team di sicurezza possono utilizzare altri IDS per scopi specifici. Un IDS basato sul protocollo (PIDS) monitora i protocolli di connessione tra server e dispositivi. I PIDS vengono spesso collocati sui server web per monitorare le connessioni HTTP o HTTPS. Un IDS basato sul protocollo applicativo (APIDS) funziona a livello di applicazione, monitorando i protocolli specifici delle applicazioni. Un APIDS viene spesso distribuito tra un server web e un database SQL per rilevare l'SQL injection.
Anche se le soluzioni IDS sono in grado di rilevare molte minacce, gli hacker hanno sviluppato modi per aggirarle. I fornitori di IDS rispondono aggiornando le loro soluzioni per tenere conto di queste tattiche. Tuttavia, ciò ha creato una sorta di corsa agli armamenti, con gli hacker e gli IDS che cercano di rimanere sempre un passo avanti rispetto all'avversario.
Alcune tattiche comuni di evasione degli IDS includono:
Attacchi DDoS (Distributed Denial of Service): mettono offline gli IDS inondandoli di traffico ovviamente dannoso proveniente da più fonti. Quando le risorse dell'IDS sono sopraffatte dalle finte minacce, gli hacker si intrufolano.
Spoofing : falsificazione di indirizzi IP e record DNS per far sembrare che il traffico provenga da un'origine affidabile.
Frammentazione: la suddivisione di malware o altri payload dannosi in pacchetti più piccoli, che oscura la firma e impedisce il rilevamento. Ritardando strategicamente l'invio dei pacchetti o inviandoli in ordine sparso, gli hacker impediscono che gli IDS possano riassemblarli e notare l'attacco.
Crittografia: l'utilizzo di protocolli crittografati per aggirare un IDS se quest'ultimo non dispone della chiave di decodifica corrispondente.
Sfinimento dell'operatore: generare un gran numero di avvisi IDS per distrarre il team di risposta agli incidenti dalle attività reali.
Gli IDS non sono strumenti autonomi. Sono progettati come parte di un sistema di sicurezza informatica olistico e spesso sono strettamente integrati con una o più delle seguenti soluzioni di sicurezza:
Gli avvisi IDS vengono spesso incanalati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzato. L'integrazione degli IDS con i SIEM consente ai team addetti alla sicurezza di arricchire gli avvisi IDS con informazioni sulle minacce e dati provenienti da altri strumenti, filtrare falsi allarmi e assegnare priorità agli incidenti per la correzione.
Come già osservato, un IPS monitora il traffico di rete alla ricerca di attività sospette, come gli IDS, e intercetta le minacce in tempo reale, terminando automaticamente le connessioni o attivando altri strumenti di sicurezza. Poiché gli IPS devono fermare gli attacchi informatici, solitamente vengono posizionati all'interrompere, il che significa che tutto il traffico deve attraversare l'IPS prima di poter raggiungere il resto della rete.
Alcune organizzazioni implementano un IDS e un IPS come soluzioni separate. Più spesso, IDS e IPS vengono combinati in un unico sistema di rilevamento e prevenzione delle intrusioni (IDPS) che rileva le intrusioni, le registra, avvisa i team addetti alla sicurezza e risponde in maniera automatica.
Gli IDS e i firewall sono complementari. I firewall sono rivolte all'esterno della rete e agiscono come barriere, utilizzando set di regole predefinite per consentire o impedire il traffico. Gli IDS spesso si trovano vicino ai firewall e aiutano a fermare tutto ciò che li supera. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IDS e IPS integrate.
Rileva le minacce nascoste in agguato nella tua rete, prima che sia troppo tardi. IBM Security QRadar Network Detection and Response (NDR) aiuta i team di sicurezza ad analizzare le attività di rete in tempo reale. Combina una vasta e approfondita visibilità con analytics e dati di elevato valore per favorire risposte e insight attivabili.
Ottieni la protezione della sicurezza di cui la tua organizzazione ha bisogno per migliorare la preparazione alle violazioni con una sottoscrizione al servizio di protezione per la risposta all'incidente di IBM Security. Quando ti rivolgi al nostro team d'élite di consulenti IR, hai a disposizione partner fidati che ti aiutano a ridurre i tempi di risposta a un incidente, a minimizzarne l'impatto e a recuperare più rapidamente prima che si sospetti un incidente di cybersecurity.
Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente al ransomware e a minimizzare l'impatto degli attacchi ransomware.
Un piano formale di risposta agli incidenti consente ai team di sicurezza informatica di limitare o prevenire i danni causati dagli attacchi informatici o dalle violazioni di sicurezza.
NDR utilizza l'intelligenza artificiale, l'apprendimento automatico e l'analisi comportamentale per rilevare e rispondere ad attività della rete sospette.
SIEM monitora e analizza gli eventi relativi alla sicurezza in tempo reale e registra i dati di sicurezza per scopi di conformità o controllo.