Che cos'è un sistema di prevenzione delle intrusioni (IPS)?
I sistemi di prevenzione delle intrusioni monitorano il traffico di rete alla ricerca di potenziali minacce e bloccano automaticamente le attività maligne. 
Iscriviti alla newsletter IBM Esplora IBM Security QRadar
Disegno isometrico che mostra diversi dipendenti di un ufficio che utilizzano IBM Security
Che cos'è un sistema di prevenzione delle intrusioni (IPS)?

Un sistema di prevenzione delle intrusioni (IPS) monitora il traffico di rete alla ricerca di potenziali minacce e agisce automaticamente per bloccarle avvisando il team di sicurezza, interrompendo le connessioni pericolose, eliminando i contenuti dannosi o attivando altri dispositivi di sicurezza. 

Le soluzioni IPS si sono evolute a partire dai sistemi di rilevamento delle intrusioni (IDS), che rilevano e segnalano le minacce al team di sicurezza. Un IPS ha le stesse funzioni di rilevamento e segnalazione delle minacce di un IDS, oltre a capacità di prevenzione automatizzata delle minacce, motivo per cui gli IPS sono talvolta definiti "sistemi di rilevamento e prevenzione delle intrusioni" (IDPS).

Poiché un IPS è in grado di bloccare direttamente il traffico dannoso, può alleggerire i carichi di lavoro per i team di sicurezza e i centri operativi di sicurezza (SOC), consentendo loro di concentrarsi su minacce più complesse. Gli IPS possono aiutare ad applicare le politiche di sicurezza della rete bloccando azioni non autorizzate da parte di utenti legittimi e possono supportare l'impegno per la conformità. Ad esempio, un IPS soddisferebbe il requisito Payment Card Industry Data Security Standard (PCI-DSS) per le misure di rilevamento delle intrusioni.

Metodi di rilevamento delle minacce IPS

Gli IPS utilizzano tre metodi principali di rilevamento delle minacce, esclusivamente o in combinazione, per analizzare il traffico.

Rilevamento basato sulla firma 

I metodi di rilevamento basati sulle firme analizzano i pacchetti di rete per individuare le firme di intrusione, ovvero caratteristiche o comportamenti unici CONNESSI a una minaccia specifica. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.

Un IPS basato su firma mantiene un database di firme di intrusioni con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IPS interviene. I database delle firme devono essere aggiornati regolarmente con nuova threat intelligence man mano che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. Tuttavia, gli attacchi nuovi che non sono ancora stati analizzati per le firme possono eludere un IPS basato su firme.

Rilevamento basato sull'anomalia

I metodi di rilevamento basati sull'anomalia utilizzano l'intelligenza artificiale e l'apprendimento automatico per creare e perfezionare in modo continuo un modello di riferimento per la normale attività della rete. L'IPS confronta l'attività di rete in corso con il modello e interviene quando rileva deviazioni, come un processo che utilizza una larghezza di banda superiore a quella consueta o un dispositivo che apre una porta che di solito è chiusa.

Poiché gli IPS basati su anomalia rispondono a qualsiasi comportamento anomalo, spesso possono bloccare nuovi attacchi informatici che potrebbero eludere il rilevamento basato sulle firme. Potrebbero anche rilevare exploit zero-day, ovvero attacchi che sfruttano le vulnerabilità del software prima che lo sviluppatore del software ne venga a conoscenza o abbia il tempo di correggerli .

Tuttavia, gli IPS basati su anomalie potrebbero essere più soggetti a falsi positivi. Anche l'attività benigna, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IPS basato su anomalie. Di conseguenza, gli utenti autorizzati potrebbero essere allontanati dalla rete o i loro indirizzi IP bloccati. 

Rilevamento basato su politiche

I metodi con rilevamento basato su politiche si basano sulle politiche di sicurezza stabilite dal team di sicurezza. Ogni volta che un IPS basato su politica rileva un'azione che viola una politica di sicurezza, blocca il tentativo.

Ad esempio, un SOC potrebbe impostare politiche di controllo degli accessi che determinano quali utenti e dispositivi possono accedere a un host. Se un utente non autorizzato tenta di connettersi all'host, un IPS basato su politica lo interromperà.

Sebbene gli IPS basati su politica offrano personalizzazione, possono richiedere un investimento iniziale significativo. Il team di sicurezza deve creare una serie completa di criteri che definiscano ciò che è consentito e ciò che non è consentito in tutta la rete. 

Metodi di rilevamento delle minacce meno comuni

Mentre la maggior parte degli IPS utilizza i metodi di rilevamento delle minacce descritti in precedenza, alcuni utilizzano tecniche meno comuni.

Il rilevamento basato sulla reputazione segnala e blocca il traffico proveniente da indirizzi IP e domini connessi a attività dannose o sospette. L'analisi del protocollo con stato si concentra sul comportamento del protocollo: ad esempio, potrebbe identificare un attacco distributed denial-of-service (DDoS) rilevando un singolo indirizzo IP che effettua molte richieste di connessione TCP simultanee in un breve periodo.

Metodi di prevenzione delle minacce IPS

Quando un IPS rileva una minaccia, registra l'evento e lo segnala al SOC, spesso tramite uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (consultare "IPS e altre soluzioni per la sicurezza" di seguito).

Ma l'IPS non si ferma qui. Interviene automaticamente contro la minaccia, utilizzando tecniche come: 

Blocco del traffico dannoso

Un IPS può terminare la sessione di un utente, bloccare uno specifico indirizzo IP o persino bloccare tutto il traffico verso una destinazione. Alcuni IPS possono reindirizzare il traffico verso un honeypot, una risorsa esca che fa credere agli hacker di aver avuto successo quando, in realtà, il SOC li sta osservando. 

Rimozione di contenuto dannoso

Un IPS può consentire al traffico di continuare, ma ripulisce le parti pericolose, ad esempio eliminando pacchetti dannosi da un flusso o rimuovendo un allegato dannoso da un'e-mail.

Attivazione di altri dispositivi di sicurezza

Un IPS può richiedere ad altri dispositivi di sicurezza di agire, ad esempio aggiornando le regole del firewall per bloccare una minaccia o modificando le impostazioni del router per impedire agli hacker di raggiungere i propri obiettivi.

Applicazione delle politiche di sicurezza

Alcuni IPS possono impedire agli autori degli attacchi e agli utenti non autorizzati di agire in modo da violare le politiche di sicurezza aziendali. Ad esempio, se un utente tenta di trasferire informazioni sensibili da un database sul quale dovrebbero rimanere, l'IPS lo bloccherebbe. 

Tipi di sistemi di prevenzione delle intrusioni

Le soluzioni IPS possono essere applicazioni software installate su endpoint, dispositivi hardware dedicati connessi alla rete o erogati come servizi cloud. Poiché gli IPS devono essere in grado di bloccare le attività maligne in tempo reale, sono sempre posizionati "inline" sulla rete, il che significa che il traffico passa direttamente attraverso l'IPS prima di raggiungere la destinazione.

Gli IPS sono classificati in base alla posizione in cui si trovano in una rete e al tipo di attività che monitorano. Molte organizzazioni utilizzano più tipi di IPS nelle proprie reti. 

Sistemi di prevenzione delle intrusioni basati su rete (NIPS)

Un sistema di prevenzione delle intrusioni basato su rete (NIPS) monitora il traffico in entrata e in uscita verso i dispositivi della rete, ispezionando singoli pacchetti alla ricerca di attività sospette. I NIPS sono posizionati in punti strategici della rete. Spesso si trovano immediatamente dietro i firewall sul perimetro della rete in modo da poter bloccare il traffico dannoso che riesce a penetrare. Il NIPS può anche essere posizionato all'interno della rete per monitorare il traffico da e verso risorse chiave, come data center o dispositivi critici. 

Sistemi di prevenzione delle intrusioni basati su host (HIPS)

Un sistema di prevenzione delle intrusioni basato su host (HIPS) viene installato su uno specifico endpoint, come un computer portatile o un server, e monitora solo il traffico verso e da quel dispositivo. Gli HIPS vengono solitamente utilizzati insieme ai NIPS per aggiungere ulteriore sicurezza alle risorse vitali. L'HIPS può anche bloccare le attività maligne da un nodo di rete compromesso, come il ransomware che si diffonde da un dispositivo infetto. 

Analisi del comportamento di rete (NBA)

Le soluzioni di analisi del comportamento di rete (NBA) monitorano i flussi di traffico di rete. Mentre i NBA possono ispezionare pacchetti come altri IP, molti NBA si concentrano sui dettagli più elevati delle sessioni di comunicazione, come gli indirizzi IP di origine e destinazione, le porte utilizzate e il numero di pacchetti trasmessi.

Le NBA utilizzano metodi di rilevamento basati su anomalia, segnalando e bloccando flussi che si discostano dalla norma, come il traffico di attacco DDoS (Distributed Denial-of-Service) o un dispositivo infettato da malware che comunica con un server di comando e controllo sconosciuto.

Sistemi di prevenzione delle intrusioni (WIPS) wireless

Un sistema di prevenzione delle intrusioni (WIPS) wireless monitora i protocolli di rete wireless alla ricerca di attività sospette, come utenti e dispositivi non autorizzati che accedono al Wi-Fi dell'azienda. Se un WIPS rileva un'entità sconosciuta su una rete wireless, può interrompere la connessione. Un WIPS può anche aiutare a rilevare dispositivi mal configurati o non protetti su una rete wifi e a intercettare gli attacchi man-in-the-middle, in cui un hacker spia segretamente le comunicazioni degli utenti.

IPS e altre soluzioni di protezione

Sebbene gli IPS siano disponibili come strumenti autonomi, sono progettati per essere strettamente integrati con altre soluzioni di protezione nell'ambito di un sistema olistico di cybersecurity.

IPS e SIEM (informazioni sulla sicurezza e gestione degli eventi)

Gli avvisi IPS vengono spesso incanalati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzato. L'integrazione degli IPS con i SIEM consente ai team di sicurezza di arricchire gli avvisi IPS con ulteriore threat intelligence, filtrare i falsi allarmi e seguire l'attività IPS per garantire che le minacce siano state bloccate. I SIEM possono anche aiutare i SOC a coordinare i dati provenienti da diversi tipi di IPS, poiché molte organizzazioni ne utilizzano più di un tipo. 

IPS e IDS (sistema di rilevamento delle intrusioni)

Come accennato in precedenza, gli IP si sono evoluti dagli IDS e hanno molte delle stesse funzioni. Mentre alcune organizzazioni possono utilizzare soluzioni IPS e IDS distinte, la maggior parte dei team di sicurezza implementa un'unica soluzione integrata che offre rilevamento, log, reportistica e prevenzione automatica delle minacce affidabili. Molti IPS consentono ai team di sicurezza di disattivare le funzioni di prevenzione, permettendo loro di agire come IDS puri se l'organizzazione lo desidera. 

IPS e firewall

Gli IPS fungono da seconda linea di difesa dietro i firewall. I firewall bloccano il traffico dannoso sul perimetro e gli IPS intercettano tutto ciò che riesce a violare il firewall e a penetrare nella rete. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IPS integrate.

Soluzioni correlate
IBM Security® QRadar NDR

Rileva le minacce nascoste in agguato nella tua rete, prima che sia troppo tardi. IBM Security QRadar Network Detection and Response (NDR) aiuta i team di sicurezza ad analizzare le attività di rete in tempo reale. Combina una vasta e approfondita visibilità con analytics e dati di elevato valore per favorire risposte e insight attivabili.

Esplora QRadar EDR

Team di risposta agli incidenti X-Force

Ottieni la protezione della sicurezza di cui la tua organizzazione ha bisogno per migliorare la preparazione alle violazioni con una sottoscrizione al servizio di protezione per la risposta all'incidente di IBM Security. Quando ti rivolgi al nostro team d'élite di consulenti IR, hai a disposizione partner fidati che ti aiutano a ridurre i tempi di risposta a un incidente, a minimizzarne l'impatto e a recuperare più rapidamente prima che si sospetti un incidente di cybersecurity.

Esplora la risposta agli incidenti di X-Force

Soluzioni di protezione dai ransomware

Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente al ransomware e a minimizzare l'impatto degli attacchi ransomware.

Esplora le soluzioni di protezione contro il ransomware
Risorse Che cos'è la sicurezza di rete?

Con la crescita delle reti aziendali, aumenta anche il rischio di attacchi informatici. Scopri come le soluzioni di sicurezza di rete proteggono i sistemi informatici dalle minacce alla sicurezza interne ed esterne.

Che cos'è la gestione delle informazioni e degli eventi di sicurezza (SIEM)?

SIEM monitora e analizza gli eventi relativi alla sicurezza in tempo reale e registra e tiene traccia dei dati di sicurezza per scopi di conformità o controllo.

Che cos'è il rilevamento e la risposta della rete (NDR)?

NDR utilizza l'intelligenza artificiale, l'apprendimento automatico e l'analisi comportamentale per rilevare e rispondere ad attività della rete sospette.

Fai il passo successivo

Le minacce alla sicurezza informatica stanno diventando sempre più avanzate e persistenti e richiedono un maggiore impegno da parte degli analisti di sicurezza nel vagliare innumerevoli avvisi e incidenti. IBM Security QRadar SIEM semplifica l'eliminazione delle minacce in modo più rapido, preservando i profitti. QRadar SIEM assegna la priorità agli avvisi ad alta fedeltà per aiutarti a individuare le minacce che altri non vedono.

Maggiori informazioni su QRadar SIEM Richiedi una demo SIEM