Un sistema di prevenzione delle intrusioni (IPS) monitora il traffico di rete alla ricerca di potenziali minacce e le blocca automaticamente avvisando il team addetto alla sicurezza, interrompendo le connessioni pericolose, eliminando i contenuti dannosi o attivando altri dispositivi di sicurezza.
Le soluzioni IPS si sono evolute a partire dai sistemi di rilevamento delle intrusioni (IDS), che rilevano e segnalano le minacce al team addetto alla sicurezza. Un IPS ha le stesse funzioni di rilevamento e segnalazione delle minacce di un IDS, oltre a capacità di prevenzione automatizzata delle minacce, pertanto talvolta sono definiti "sistemi di rilevamento e prevenzione delle intrusioni" (IDPS).
Poiché un IPS è in grado di bloccare direttamente il traffico dannoso, può alleggerire i workload per i team addetti alla sicurezza e i centri operativi per la sicurezza (SOC), consentendo loro di concentrarsi su minacce più complesse. Gli IPS possono aiutare ad applicare le politiche di sicurezza della rete bloccando azioni non autorizzate da parte di utenti legittimi e possono supportare l'impegno per la conformità. Ad esempio, un IPS soddisfa il requisito Payment Card Industry Data Security Standard (PCI-DSS) per le misure di rilevamento delle intrusioni.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Gli IPS utilizzano tre metodi principali di rilevamento delle minacce, esclusivamente o in combinazione, per analizzare il traffico.
I metodi di rilevamento basati sulle firme analizzano i pacchetti di rete per individuare eventuali firme di attacco: caratteristiche o comportamenti unici associati a una minaccia specifica. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.
Un IPS basato sulle firme mantiene un database di firme di intrusioni con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IPS risponde. I database delle firme devono essere aggiornati regolarmente con nuova threat intelligence man mano che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. Tuttavia, i nuovi attacchi che non sono stati ancora analizzati per le firme possono eludere un IPS basato sulle firme.
I metodi di rilevamento basati sull'anomalia utilizzano l'AI e l'apprendimento automatico per creare e perfezionare costantemente un modello di riferimento per la normale attività della rete. L'IPS confronta l'attività di rete in corso con il modello e risponde quando rileva eventuali deviazioni, come un processo che utilizza più larghezza di banda del normale o un dispositivo che apre una porta che solitamente è chiusa.
Poiché gli IPS basati su anomalia rispondono a qualsiasi comportamento anomalo, spesso possono bloccare nuovi attacchi informatici che potrebbero eludere il rilevamento basato sulle firme. Possono persino rilevare gli exploit zero-day, ovvero attacchi che sfruttano le vulnerabilità del software prima che lo sviluppatore del software ne venga a conoscenza o abbia il tempo di correggerle.
Tuttavia, gli IPS basati su anomalie potrebbero essere più soggetti a falsi positivi. Anche l'attività benigna, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IPS basato su anomalie. Di conseguenza, gli utenti autorizzati potrebbero essere allontanati dalla rete o i loro indirizzi IP bloccati.
I metodi con rilevamento basato su politiche si basano sulle politiche di sicurezza stabilite dal team di sicurezza. Ogni volta che un IPS basato su politica rileva un'azione che viola una politica di sicurezza, blocca il tentativo.
Ad esempio, un SOC potrebbe impostare politiche di controllo degli accessi che stabiliscono quali utenti e dispositivi possono accedere a un host. Se un utente non autorizzato tenta di connettersi all'host, un IPS basato su politica lo interrompe.
Sebbene gli IPS basati su politica offrano personalizzazione, possono richiedere un investimento iniziale significativo. Il team di sicurezza deve creare una serie completa di criteri che definiscano ciò che è consentito e ciò che non è consentito in tutta la rete.
Mentre la maggior parte degli IPS utilizza i metodi di rilevamento delle minacce descritti in precedenza, alcuni utilizzano tecniche meno comuni.
Il rilevamento basato sulla reputazione segnala e blocca il traffico proveniente da domini e indirizzi IP connessi ad attività dannose o sospette. L'analisi del protocollo con stato si concentra sul comportamento del protocollo: ad esempio, potrebbe individuare un attacco distributed denial-of-service (DDoS) rilevando un singolo indirizzo IP che effettua numerose richieste di connessione TCP simultanee in un breve periodo.
Quando un IPS rileva una minaccia, registra l'evento e lo segnala al SOC, spesso attraverso uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (consultare "IPS e altre soluzioni per la sicurezza" riportato di seguito).
Ma l'IPS non si ferma qui. Interviene automaticamente contro la minaccia utilizzando tecniche come:
Un IPS può terminare la sessione di un utente, bloccare uno specifico indirizzo IP o persino bloccare tutto il traffico verso un obiettivo. Alcuni IPS possono reindirizzare il traffico verso un honeypot, un asset esca che fa credere agli hacker di aver avuto successo quando, in realtà, il SOC li sta osservando.
Un IPS può consentire al traffico di continuare, ma ripulisce le parti pericolose, ad esempio eliminando pacchetti dannosi da un flusso o rimuovendo un allegato dannoso da un'e-mail.
Un IPS può richiedere ad altri dispositivi di sicurezza di agire, ad esempio aggiornando le regole del firewall per bloccare una minaccia o modificando le impostazioni del router per impedire agli hacker di raggiungere i propri obiettivi.
Alcuni IPS possono impedire agli autori degli attacchi e agli utenti non autorizzati di agire in modo da violare le politiche di sicurezza aziendali. Ad esempio, se un utente tenta di trasferire informazioni sensibili da un database sul quale dovrebbero rimanere, l'IPS lo bloccherebbe.
Le soluzioni IPS possono essere applicazioni software installate su endpoint, dispositivi hardware dedicati connessi alla rete o forniti come servizi cloud. Poiché gli IPS devono essere in grado di bloccare le attività malevoli in tempo reale, sono sempre posizionati "inline" sulla rete, il che significa che il traffico passa direttamente attraverso l'IPS prima di raggiungere la destinazione.
Gli IPS sono classificati in base alla posizione in cui si trovano in una rete e al tipo di attività che monitorano. Molte organizzazioni utilizzano più tipi di IPS nelle proprie reti.
Un sistema di prevenzione delle intrusioni basato su rete (NIPS) monitora il traffico in entrata e in uscita verso i dispositivi della rete, ispezionando singoli pacchetti alla ricerca di attività sospette. I sistemi NIPS sono posizionati in punti strategici della rete. Spesso si trovano immediatamente dietro i firewall sul perimetro della rete in modo da poter bloccare il traffico dannoso. I NIS possono anche essere all'interno della rete per monitorare il traffico da e verso asset chiave, come data center o dispositivi critici.
Un sistema di prevenzione delle intrusioni basato su host (HIPS) viene installato su uno specifico endpoint, come un laptop o un server, e monitora solo il traffico verso e da quel dispositivo. Gli HIPS vengono solitamente utilizzati insieme ai NIPS per aggiungere ulteriore sicurezza agli asset vitali. L'HIPS può anche bloccare le attività malevoli da un nodo di rete compromesso, come il ransomware che si diffonde da un dispositivo infetto.
Le soluzioni di analisi del comportamento di rete (NBA) monitorano i flussi di traffico di rete. I NBA possono ispezionare pacchetti come altri IP, ma numerosi NBA si concentrano sui dettagli più elevati delle sessioni di comunicazione, come gli indirizzi IP di origine e destinazione, le porte utilizzate e il numero di pacchetti trasmessi.
Gli NBA utilizzano metodi di rilevamento basati sulle anomalie, segnalando e bloccando flussi che si discostano dalla norma, come un attacco DDoS sul traffico o un dispositivo infettato da malware che comunica con un server di comando e controllo sconosciuto.
Un sistema di prevenzione delle intrusioni (WIPS) wireless monitora i protocolli di rete wireless alla ricerca di attività sospette, come utenti e dispositivi non autorizzati che accedono al Wi-Fi dell'azienda. Se un WIPS rileva un'entità sconosciuta su una rete wireless, può interrompere la connessione. Un WIPS può anche aiutare a rilevare dispositivi mal configurati o non protetti su una rete wifi e a intercettare gli attacchi man-in-the-middle, in cui un hacker spia segretamente le comunicazioni degli utenti.
Sebbene gli IPS siano disponibili come strumenti autonomi, sono progettati per essere strettamente integrati con altre soluzioni di protezione nell'ambito di un sistema olistico di cybersecurity.
Gli avvisi IPS vengono spesso incanalati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzata. L'integrazione degli IPS con i SIEM consente ai team addetti alla sicurezza di arricchire gli avvisi IPS con ulteriore threat intelligence, filtrare i falsi allarmi e seguire l'attività IPS per garantire che le minacce siano state bloccate. I SIEM possono anche aiutare i SOC a coordinare i dati provenienti da diversi tipi di IPS, poiché numerose organizzazioni ne utilizzano più di un tipo.
Come accennato in precedenza, gli IP si sono evoluti dagli IDS e hanno molte delle stesse funzioni. Mentre alcune organizzazioni possono utilizzare soluzioni IPS e IDS distinte, la maggior parte dei team addetti alla sicurezza implementa un'unica soluzione integrata che offre rilevamento, log, reportistica e prevenzione automatica delle minacce affidabili. Numerosi IPS consentono ai team di sicurezza di disattivare le funzioni di prevenzione, consentendo loro di agire come IDS puri se l'organizzazione lo desidera.
Gli IPS fungono da seconda linea di difesa dietro i firewall. I firewall bloccano il traffico dannoso sul perimetro e gli IPS intercettano tutto ciò che riesce a violare il firewall e a penetrare nella rete. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IPS integrate.
Ottieni la protezione della sicurezza di cui la tua organizzazione ha bisogno per migliorare la preparazione alle violazioni con un abbonamento a IBM Security per la risposta all'incidente. Il team d'élite di consulenti IR è composto da suoi partner fidati pronti a contribuire a ridurre i tempi di risposta agli incidenti, minimizzare l'impatto e aiutarla a riprendersi più velocemente prima che si sospetti un incidente di cybersecurity.
Impedisce ai ransomware di interrompere la continuità aziendale e ripristinarla rapidamente quando si verificano attacchi. L'approccio zero-trust ti aiuta a rilevare e rispondere al ransomware più velocemente e a ridurre al minimo l'impatto degli attacchi ransomware.
Con la crescita delle reti aziendali, aumenta anche il rischio di attacchi informatici. Scopri come le soluzioni di sicurezza di rete proteggono i sistemi informatici dalle minacce alla sicurezza interne ed esterne.
SIEM monitora e analizza gli eventi relativi alla sicurezza in tempo reale e registra e tiene traccia dei dati di sicurezza per scopi di conformità o controllo.
NDR utilizza l'intelligenza artificiale, l'apprendimento automatico e l'analisi comportamentale per rilevare e rispondere ad attività della rete sospette.