I sistemi di rilevazione delle intrusioni, noti con l’espressione inglese Intrusion Detection System o con l’acronimo IDS, sono tra gli strumenti di sicurezza informatica più preziosi per le imprese decise a proteggere il proprio perimetro cyber. Questi sistemi sono infatti in grado di monitorare costantemente le reti e i dispositivi per identificare tempestivamente eventuali attacchi e allertare l’Amministratore di Sistema o il Reparto IT, così da metterli nelle condizioni di potersi attivare tempestivamente nella gestione dell’attacco.
Nonostante le imprese siano sempre più consapevoli dell’importanza di adottare soluzioni con cui proteggersi dalle intrusioni, è altrettanto vero che la capacità di rilevare gli attacchi rimane ancora oggi uno degli aspetti più trascurati della cyber security. Il punto è che il riconoscimento delle intrusioni informatiche è una vera sfida, resa ancor più complessa dall’esistenza di attacchi informatici come gli ATP o Advanced Persistent Threat, cui obiettivo è quello di rimanere invisibili, così da persistere a lungo all’interno dei sistemi violati in modo latente, per mantenerne il controllo ed attivarsi in caso di necessità, possibilmente esfiltrando nel frattempo dati ed informazioni sensibili. Le statistiche indicano che la finestra di compromissione, ovvero il tempo necessario a rilevare l’esistenza di attacchi di questo tipo, può essere persino di oltre 200 giorni (fonte: IBM Cost of data breach report).
Detto questo, sarà evidente che la finalità degli Intrusion Detection System è di individuare accessi non autorizzati a computer e reti locali per identificare le minacce informatiche prima che causino danni. Perché reti e sistemi sono costantemente esposti agli attacchi, e firewall e antivirus, benché essenziali, non sono sufficienti da soli a difendere le porte di ingresso verso i sistemi delle imprese.
Ecco cosa sono gli IDS system e come aiutano le imprese a rilevare in tempo reale anomalie e attacchi informatici.
Cos’è un IDS: Intrusion Detection System
Con l’acronimo IDS si fa riferimento all’Intrusion Detection System, un fondamentale strumento di sicurezza informatica progettato per proteggere dispositivi e reti dalle minacce. Questo sistema di rilevamento di intrusioni esegue un monitoraggio attivo del traffico di rete e dei dispositivi per individuare eventuali attività dannose note o sospette e violazioni delle politiche di sicurezza.
Un IDS, insomma, analizza il traffico di rete, i log di sistema e altre fonti di dati per identificare pattern, comportamenti anomali e firme di attacchi noti. Quando rileva minacce o potenziali rischi, il sistema avvisa gli amministratori o invia notifiche a strumenti centralizzati come un SIEM, aiutando così i team di sicurezza a identificare e rispondere a minacce informatiche che altrimenti sarebbero passate inosservate.
È bene qui specificare, infatti, che gli Intrusion Detection System sono una tecnologia passiva: sono in grado di rilevare il problema, ma non di arginarlo. Questa operazione spetta infatti all’operatore IT umano. Diverso invece il caso degli Intrusion Prevention System o IPS, sistemi capaci anche di intervenire automaticamente per prevenire gli attacchi. Non a caso, le funzionalità di IDS sono generalmente integrate all’interno di Sistemi di Prevenzione delle Intrusioni o, appunto, IPS.
Detto ciò, sarà chiaro che gli Intrusion Detection System agiscono come vere e proprie sentinelle, lanciando l’allarme agli esperti IT e mettendoli nelle migliori condizioni per intervenire manualmente e bloccare l’intrusione. Queste soluzioni forniscono infatti preziose indicazioni sulla tipologia di attacco, sull’indirizzo di origine dell’intrusione e su quello di destinazione.
IDS e firewall
I sistemi di rilevamento delle intrusioni IDS e i firewall sono soluzioni di cybersecurity fondamentali quando si tratta di proteggere endpoint e reti. Nonostante questo, differiscono tra loro in modo significativo.
Un IDS, come abbiamo visto, agisce come un dispositivo di monitoraggio passivo che rileva minacce potenziali e genera avvisi per consentire agli analisti della sicurezza di indagare e rispondere manualmente agli incidenti. Un Intrusion Detection System, quindi, non fornisce una protezione diretta all’endpoint o alla rete, occupandosi esclusivamente di individuare le minacce e segnalarle a chi può agire per arginarle.
Contrariamente agli IDS, i firewall sono progettati per agire come sistemi di protezione attivi. Operando sugli strati più bassi della comunicazione di rete, i firewall filtrano le trasmissioni considerate pericolose o indesiderate a partire da un set di criteri predefiniti. In questo modo, si trasformano in una sorta di “porta blindata” per la rete, bloccando gli attacchi.
Gli Intrusion Detection System vengono posizionati “a valle” del firewall e analizzano i pacchetti di dati e i comportamenti da loro generati.
Gli IDS, quindi, non sostituiscono i firewall, ma si uniscono a loro per offrire una protezione più completa. In situazioni in cui l’attacco ha origine all’interno della rete locale, ad esempio, il firewall potrebbe non essere in grado di bloccarlo, ma l’IDS può rilevarlo identificando anomalie nel comportamento.
Come funziona un Intrusion Detection System
Gli IDS o Intrusion Detection System possono essere implementati come applicazioni software sugli endpoint, dispositivi hardware o addirittura come servizi cloud.
Come abbiamo visto, possono essere paragonati a un sistema d’allarme preventivo, pronto a segnalare qualsiasi attività che richiede attenzione. Ma come funziona esattamente un sistema di Intrusion Detection?
Un IDS si compone generalmente di sonde o sensori, posizionati in punti strategici della rete, cui compito consiste nel raccogliere informazioni dai dispositivi o dalla rete. Il sistema si occupa poi di trasmettere i dati a un server centrale, noto come motore, che sfrutta un database contenente regole e informazioni per individuare anomalie.
Il posizionamento strategico dei sensori, com’è evidente, assume un’estrema rilevanza. I sensori vengono per questo posti nei punti più critici del sistema, quelli ciò in cui è più probabile avvenga un’intrusione, come i router e i gateway, i server web esposti all’esterno e i server e database aziendali interni, nei quali risiedono dati sensibili.
L’Intrusion Detection System comunica con gli amministratori di sistema attraverso una console dedicata e invia una notifica in caso di rilevamento di un attacco o comportamento sospetto.
In questo modo, chi di dovere viene immediatamente allertato e messo nelle condizioni ottimali per intervenire.
Come abbiamo già visto, infatti, gli IDS si concentrano sulla rilevazione delle minacce, lasciando al reparto IT dell’azienda il compito di stabilire le contromisure più adeguate a bloccare un potenziale attacco. Quando invece il sistema è in grado di rilevare la minaccia, notificare in tempo reale l’Amministratore e mettere in atto azioni di protezione immediate, si parla piuttosto di IPS o Intrusion Prevention System.
Rilevare le intrusioni: le diverse tipologie di detection
L’efficacia degli Intrusion Detection System si basa naturalmente sulla loro capacità di rilevare le minacce. Questi sistemi possono in realtà essere distinti in due categorie principali, a seconda della posizione dei sensori dedicati al rilevamento delle intrusioni. Gli IDS possono infatti essere “posizionati” sugli endpoint oppure sulla rete. Una differenza, questa, non certo secondaria, in quanto determina che cosa si intende monitorare di specifico all’interno del sistema informatico aziendale.
- NIDS o Network intrusion Detection System: i sistemi di rilevamento delle intrusioni di rete, noti come NIDS, analizzano i pacchetti IP e monitorano il traffico in entrate e in uscita su tutta la rete. Posizionati strategicamente, spesso direttamente dietro i firewall, i NIDS possono rilevare il traffico dannoso che è riuscito a penetrare nella rete, attività anomale come accessi non autorizzati, propagazioni di software malevoli e l’acquisizione abusiva di privilegi utente. Fondamentali per fornire informazioni sulle scansioni di rete, evidenziare errori di configurazione e vulnerabilità, i NIDS monitorano anche il comportamento degli utenti interni e segnalano eventuali malfunzionamenti di altre misure di sicurezza.
- HIDS o Host based Intrusion Detection System: i sistemi di rilevamento delle intrusioni basati sugli host sono installati su specifici endpoint (laptop, router, server, etc.). Il loro compito è quello di monitorare l’attività del singolo dispositivo, incluso il traffico in entrata e in uscita, eseguendo snapshot periodici dei file critici del sistema operativo e confrontandoli nel tempo. Alla base di questi sistemi si trova la certezza che chi entra illecitamente nel sistema lascia necessariamente una traccia del proprio passaggio. Ne sono degli esempi l’installazione di programmi deputati alla raccolta di informazioni e alla gestione remota della macchina. Una volta rilevati i cambiamenti, dalla modifica dei file di log alle alterazioni delle configurazioni, gli HIDS avvisano il team di sicurezza.
Ad ogni modo, la tendenza pare essere sempre più quella di adottare soluzioni di Intrusion Detection System capaci di combinare queste tipologie, per effettuare un controllo accurato sia della rete sia dell’host e garantire così un maggior tasso di rilevamento degli attacchi. Questi sistemi ibridi prendono appunto il nome di Hybrid Intrusion Detection System.
Misure e Anomaly Detection
In termini generali, i sistemi di intrusion detection si basano su avanzate tecniche di analisi comportamentale cui scopo è quello di descrivere e classificare il comportamento normale o anomalo degli utenti. Queste tecniche si focalizzano principalmente su due metriche di rilevazione: la Misuse Detection e l’Anomaly Detection.
La Misure Detection analizza i pacchetti di rete per individuare le firme di intrusione, ossia caratteristiche o comportamenti unici connessi a una specifica minaccia. Il sistema, in questo caso, confronta quindi una serie di signature action o segni caratteristici delle varie tipologie di scenari di intrusione conosciute, come cambi di proprietà di un file o determinate stringe di caratteri inviate a un server.
La Misure Detection presenta il vantaggio di generare un basso numero di “falsi positivi” e di essere affidabile e veloce. Tuttavia, il suo limite risiede nella difficoltà di rilevare intrusioni non presenti nei pattern conosciuti e preimpostati nel sistema.
Per superare questo limite, l’Anomaly Detection si avvale di metodi di apprendimento automatico per creare e perfezionare costantemente un modello di riferimento per la “normale” attività della rete. Questa soluzione permette insomma di analizzare il sistema alla ricerca di anomalie rispetto ai profili di utilizzo normale, come carico di utilizzo anomalo della CPU e traffico di dati I/O inusuale. A differenza della Misuse Detection, l’Anomaly Detection è più flessibile e in grado di apprendere con algoritmi di intelligenza artificiale, ma è più propensa a generare “falsi positivi”.
Conclusione
Come abbiamo visto in questo articolo, l’implementazione di un IDS offre agli amministratori di sistema e agli operatori di sicurezza la capacità di rilevare tempestivamente gli attacchi, analizzare eventi di sicurezza e intraprendere azioni necessarie per mitigare gli effetti delle intrusioni. Tuttavia, nell’adozione di tali sistemi, emergono alcune criticità da affrontare.
Una delle sfide principali riguarda il numero di avvisi, spesso legati a falsi positivi, che potrebbe scoraggiare alcune aziende dall’implementare un IDS, anche alla luce dei costi umani necessari le la loro gestione.
Gli Intrusion Detection System pongono insomma problemi di gestione e manutenzione, che spesso rappresentano un aspetto critico soprattutto per le realtà di medio-piccole dimensioni.
Ecco perché il consiglio degli esperti in materia di cybersecurity alle PMI è quello di adottare gli IDS come parte integrante di un più ampio sistema di sicurezza informatica. Ad esempio, integrare gli IDS in una soluzione SIEM come Intrusa, dotata di un sistema di Anomaly Detection, offre ai responsabili IT la possibilità di consultare dashboard intuitive per accedere facilmente ai dati più rilevanti rispetto a sistemi e reti aziendali, gestire i sistemi, indentificare le vulnerabilità e prevenire così gli incidenti. Il tutto, naturalmente, nel pieno rispetto delle normative vigenti.
Vuoi saperne di più su Intrusa, la soluzione SIEM in Cloud nata proprio per supportare la sicurezza informatica delle PMI? Contattaci o richiedi una demo!