Che cos'è un sistema di prevenzione delle intrusioni (IPS)?

Le soluzioni IPS si sono evolute a partire dai sistemi di rilevamento delle intrusioni (IDS), che rilevano e segnalano le minacce al team addetto alla sicurezza. Un IPS ha le stesse funzioni di rilevamento e segnalazione delle minacce di un IDS, oltre a capacità di prevenzione automatizzata delle minacce, pertanto talvolta sono definiti "sistemi di rilevamento e prevenzione delle intrusioni" (IDPS).

Poiché un IPS è in grado di bloccare direttamente il traffico dannoso, può alleggerire i workload per i team addetti alla sicurezza e i centri operativi per la sicurezza (SOC), consentendo loro di concentrarsi su minacce più complesse. Gli IPS possono aiutare ad applicare le politiche di sicurezza della rete bloccando azioni non autorizzate da parte di utenti legittimi e possono supportare l'impegno per la conformità. Ad esempio, un IPS soddisfa il requisito Payment Card Industry Data Security Standard (PCI-DSS) per le misure di rilevamento delle intrusioni.

Gli IPS utilizzano tre metodi principali di rilevamento delle minacce, esclusivamente o in combinazione, per analizzare il traffico.

I metodi di rilevamento basati sulle firme analizzano i pacchetti di rete per individuare eventuali firme di attacco: caratteristiche o comportamenti unici associati a una minaccia specifica. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.

Un IPS basato sulle firme mantiene un database di firme di intrusioni con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IPS risponde. I database delle firme devono essere aggiornati regolarmente con nuova threat intelligence man mano che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. Tuttavia, i nuovi attacchi che non sono stati ancora analizzati per le firme possono eludere un IPS basato sulle firme.

I metodi di rilevamento basati su anomalie utilizzano l'intelligenza artificiale e il machine learning per creare e perfezionare costantemente un modello baseline per la normale attività della rete. L'IPS confronta l'attività di rete in corso con il modello e risponde quando rileva eventuali deviazioni, come un processo che utilizza più larghezza di banda del normale o un dispositivo che apre una porta che solitamente è chiusa.

Poiché gli IPS basati su anomalie rispondono a qualsiasi comportamento anomalo, spesso possono bloccare nuovi attacchi informatici che potrebbero eludere il rilevamento basato sulle firme. Possono persino rilevare gli exploit zero-day, ovvero attacchi che utilizzano le vulnerabilità del software prima che lo sviluppatore del software ne venga a conoscenza o abbia il tempo di correggerle.

Tuttavia, gli IPS basati su anomalie potrebbero essere più soggetti a falsi positivi. Anche l'attività benigna, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IPS basato su anomalie. Di conseguenza, gli utenti autorizzati potrebbero essere allontanati dalla rete oppure i loro indirizzi IP potrebbero essere bloccati.

I metodi con rilevamento basato su politiche si basano sulle politiche di sicurezza stabilite dal team di sicurezza. Ogni volta che un IPS basato su politica rileva un'azione che viola una politica di sicurezza, blocca il tentativo.

Ad esempio, un SOC potrebbe impostare politiche di controllo degli accessi che stabiliscono quali utenti e dispositivi possono accedere a un host. Se un utente non autorizzato tenta di connettersi all'host, un IPS basato su politica lo interrompe.

Sebbene gli IPS basati su policy offrano personalizzazione, possono richiedere un investimento iniziale significativo. Il team addetto alla sicurezza deve creare una serie completa di criteri che definiscano ciò che è consentito e ciò che non è consentito in tutta la rete.

Mentre la maggior parte degli IPS utilizza i metodi di rilevamento delle minacce descritti in precedenza, alcuni utilizzano tecniche meno comuni.

Il rilevamento basato sulla reputazione segnala e blocca il traffico proveniente da domini e indirizzi IP connessi ad attività dannose o sospette. L'analisi stateful del protocollo si concentra sul comportamento del protocollo; ad esempio, potrebbe individuare un attacco distributed denial-of-service (DDoS) rilevando un singolo indirizzo IP che effettua numerose richieste di connessione TCP simultanee in un breve periodo.

Quando un IPS rileva una minaccia, registra l'evento e lo segnala al SOC, spesso attraverso uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (vedi "IPS e altre soluzioni di sicurezza").

Tuttavia, l'IPS non si ferma qui, bensì interviene automaticamente contro la minaccia utilizzando tecniche come:

Le soluzioni IPS possono essere applicazioni software installate su endpoint, dispositivi hardware dedicati connessi alla rete o forniti come servizi cloud. Poiché gli IPS devono essere in grado di bloccare le attività malevoli in tempo reale, sono sempre posizionati "inline" sulla rete, il che significa che il traffico passa direttamente attraverso l'IPS prima di raggiungere la destinazione.

Gli IPS sono classificati in base alla posizione in cui si trovano in una rete e al tipo di attività che monitorano. Molte organizzazioni utilizzano più tipi di IPS nelle proprie reti.

Un sistema di prevenzione delle intrusioni basato su rete (NIPS) monitora il traffico in entrata e in uscita verso i dispositivi della rete, ispezionando singoli pacchetti alla ricerca di attività sospette. I sistemi NIPS sono posizionati in punti strategici della rete. Spesso si trovano immediatamente dietro i firewall, sul perimetro della rete, in modo da bloccare il traffico dannoso. I NIS possono anche essere all'interno della rete per monitorare il traffico da e verso asset chiave, come data center o dispositivi critici.

Un sistema di prevenzione delle intrusioni basato su host (HIPS) viene installato su uno specifico endpoint, come un laptop o un server, e monitora solo il traffico verso e da quel dispositivo. Gli HIPS vengono solitamente utilizzati insieme ai NIPS per aggiungere ulteriore sicurezza agli asset vitali. L'HIPS può anche bloccare le attività maligne da un nodo di rete compromesso, come il ransomware che si diffonde da un dispositivo infetto.

Le soluzioni di analisi del comportamento di rete (NBA) monitorano i flussi di traffico di rete. I NBA possono ispezionare pacchetti come altri IP, ma numerosi NBA si concentrano sui dettagli più elevati delle sessioni di comunicazione, come gli indirizzi IP di origine e destinazione, le porte utilizzate e il numero di pacchetti trasmessi.

Gli NBA utilizzano metodi di rilevamento basati su anomalie, segnalando e bloccando flussi che si discostano dalla norma, come un attacco DDoS sul traffico o un dispositivo infettato da malware che comunica con un server di comando e controllo sconosciuto.

Un sistema di prevenzione delle intrusioni (WIPS) wireless monitora i protocolli di rete wireless alla ricerca di attività sospette, come utenti e dispositivi non autorizzati che accedono al Wi-Fi dell'azienda. Se un WIPS rileva un'entità sconosciuta su una rete wireless, può interrompere la connessione. Un WIPS può anche aiutare a rilevare dispositivi mal configurati o non protetti su una rete wifi e a intercettare gli attacchi man-in-the-middle, in cui un hacker spia segretamente le comunicazioni degli utenti.

Sebbene gli IPS siano disponibili come strumenti autonomi, sono progettati per essere strettamente integrati con altre soluzioni di protezione nell'ambito di un sistema olistico di cybersecurity.

Gli avvisi IPS vengono spesso indirizzati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzata. L'integrazione degli IPS con i SIEM consente ai team addetti alla sicurezza di arricchire gli avvisi IPS con ulteriore threat intelligence, filtrare i falsi allarmi e seguire l'attività IPS per garantire che le minacce siano state bloccate. I SIEM possono anche aiutare i SOC a coordinare i dati provenienti da diversi tipi di IPS, poiché molte organizzazioni ne utilizzano più di un tipo.

Come accennato in precedenza, gli IP si sono evoluti dagli IDS e hanno molte delle stesse funzioni. Mentre alcune organizzazioni possono utilizzare soluzioni IPS e IDS distinte, la maggior parte dei team addetti alla sicurezza implementa un'unica soluzione integrata che offre rilevamento, log, reportistica e prevenzione automatica delle minacce affidabili. Numerosi IPS consentono ai team addetti alla sicurezza di disattivare le funzioni di prevenzione, consentendo loro di agire come IDS puri se l'organizzazione lo desidera.

Gli IPS fungono da seconda linea di difesa dietro i firewall. I firewall bloccano il traffico dannoso sul perimetro e gli IPS intercettano tutto ciò che riesce a violare il firewall e a penetrare nella rete. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IPS integrate.