“AVVISO DI INTRUSI” Per avere un’idea di che cosa sia un sistema di rilevamento delle intrusioni (Intrusion Detection System, IDS), immagina una voce digitale che grida alla presenza di un criminale informatico. Fa esattamente ciò che è descritto sulla confezione (virtuale) ed è l’elemento base della sicurezza informatica per le grandi aziende che hanno bisogno di un software di sistema di rilevamento delle intrusioni. Una rete compromessa può portare a grandi perdite finanziarie, violazioni dei dati e inattività, con grave danno per la reputazione di un’azienda. Continua a leggere per comprendere rapidamente il funzionamento e i tipi di IDS, e scopri come mai questa guardia del corpo digitale non può agire da sola: i sistemi di rilevamento delle intrusioni fanno solitamente parte di altri sistemi di sicurezza.
Cos’è un sistema di rilevamento delle intrusioni (IDS)?
Un IDS è un sistema di rilevamento delle intrusioni per la sicurezza di rete che controlla il traffico di rete come farebbe un dobermann digitale, sempre alla ricerca di attività sospette, minacce informatiche note o violazioni delle politiche. Se viene rilevata una di queste attività, l’IDS “abbaia” (genera degli avvisi) prima di comunicare la violazione a un amministratore. A volte le attività sospette vengono raccolte e registrate da un sistema SIEM (Security Information and Event Management). Puoi trovare maggiori informazioni a riguardo nel nostro blog su SIEM, ma non chiamarlo “dispositivo di sicurezza IDS”, in quanto è un software di sistema.
Gli avvisi IDS solitamente comprendono le seguenti informazioni: l’indirizzo di origine da cui proviene l’intrusione, l’indirizzo verso il quale è rivolto l’attacco e il tipo di attacco sospettato. Come possiamo stabilire se è stato un vero attacco o un falso allarme? Come per il dobermann citato prima, tutto dipende da quanto hai addestrato efficacemente il tuo sistema di rilevamento delle intrusioni IDS. Ogni IDS è programmato per analizzare il traffico e identificare i eventi ricorrenti, ma può rilevare anche il traffico problematico per un software specifico. Ad esempio, se è noto che una minaccia informatica prende di mira solamente Firefox, l’IDS non genera un avviso se la tua azienda utilizza un browser differente.
Spesso l’IDS viene erroneamente chiamato “firewall IDS”. Nonostante entrambi si occupino della sicurezza di rete, un firewall lavora in base al vecchio detto secondo cui “Prevenire è meglio che curare”. Il firewall individua minacce informatiche esterne e limita gli accessi tra le reti per contribuire a prevenire le intrusioni. Un IDS invece ti avvisa nel momento in cui la sospetta intrusione è già avvenuta e non blocca il traffico sospetto. Riassumendo: il firewall è la guardia muscolosa che blocca l’accesso alla porta, mentre l’IDS di rilevamento delle intrusioni avvisa se è entrato qualcuno di sospetto. Assieme, sono una grande squadra addetta alla sicurezza.
Per complicare ulteriormente le cose, esiste anche il sistema di prevenzione delle intrusioni, detto IPS. Se un firewall e un IDS avessero un figlio, assomiglierebbe molto probabilmente a un IPS. Un IPS rileva gli intrusi e aiuta a prevenire le minacce informatiche rilevate.
Quali sono i tipi principali di sistemi di rilevamento delle intrusioni?
La sicurezza IDS lavora con cinque diverse modalità, in base a dove viene impiegata.
- Sistema di rilevamento delle intrusioni di rete (NIDS)
Un NIDS viene configurato in un punto specifico della rete per esaminare il traffico di tutti i dispositivi collegati e confrontarlo con una serie di attacchi conosciuti. Se viene rilevato un attacco o un comportamento anomalo, l’avviso viene inviato all’amministratore.
- Sistema di rilevamento delle intrusioni nell’host (HIDS)
L’HIDS viene eseguito su host o dispositivi indipendenti che si trovano in rete e monitora i pacchetti in entrata e in uscita solamente da questi dispositivi. Confronta i file di sistema presenti con quelli precedenti. Se un file analizzato è stato modificato o eliminato, viene generato un avviso.
- Sistema di rilevamento delle intrusioni basato su protocollo (PIDS)
Consiste di un sistema/agente che si trova nella parte front end di un server, dove controlla il flusso del protocollo HTTPS tra un utente/dispositivo e il server.
- Sistema di rilevamento delle intrusioni basato sui protocolli delle applicazioni (APIDS)
Questo sistema o agente si trova generalmente all’interno di un gruppo di server nel quale identifica le intrusioni tramite il monitoraggio e l’interpretazione delle comunicazioni su protocolli specifici di applicazioni.
- Sistema di rilevamento delle intrusioni ibrido
Due o più sistemi di rilevamento delle intrusioni vengono associati alle informazioni di rete per fornire una panoramica più completa dell’ambiente informatico. I sistemi di rilevamento delle intrusioni ibridi sono spesso considerati gli IDS più efficaci di tutti.
Quali metodi vengono utilizzati per il rilevamento delle intrusioni?
Vi sono due metodi e fra poco li esploreremo entrambi. L’IDS basato su firma rileva gli attacchi sulla base di schemi specifici come il numero di byte o di 1 e 0 nel traffico di rete. Rileva le sequenze di istruzioni (ossia la “firma”) dannose dei malware conosciuti per riconoscerli, ma sfortunatamente ha difficoltà nell’identificare i nuovi tipi di malware, in quanto la loro firma non è ancora conosciuta. Per questo motivo, gli IDS basati su anomalie si rivelano molto utili in un mondo in cui le minacce informatiche si evolvono rapidamente: può infatti rilevare gli attacchi dei malware sconosciuti tramite l’apprendimento automatico in modo da creare un modello di attività attendibili. Tutto ciò che non rientra in questo modello viene ritenuto sospetto, come ad esempio l’accesso di utenti durante orari insoliti, nuovi dispositivi aggiunti senza permesso o un improvviso afflusso di nuovi indirizzi IP che tentano di connettersi alla rete.
Entrambi i metodi di rilevamento hanno punti forti e deboli che si completano a vicenda, quindi non scartare nessuno dei due! Il rilevamento basato su firma ha generalmente un processo di identificazione delle minacce più rapido e una possibilità più bassa di rilevare falsi positivi. Il rilevamento basato su anomalie può contribuire a identificare exploit zero-day, ma presenta un maggior numero di falsi positivi. Analizziamo i pro e i contro in maniera più approfondita qui sotto.
Quali sono gli svantaggi di un sistema di rilevamento delle intrusioni?
Anche se sono essenziali per la sicurezza aziendale, gli IDS possono essere difficili da gestire. Una volta deciso di monitorare la rete, è necessario rispondere agli avvisi e agli incidenti. Altrimenti, che scopo ci sarebbe a configurare il tutto? Gli IDS sono anche tristemente famosi per generare falsi positivi. Questo sottopone i team IT a una maggiore pressione, in quanto devono aggiornare e rifinire continuamente il sistema di prevenzione per distinguere minacce informatiche reali dal traffico consentito. Ad esempio, inviare avvisi a un server che è già protetto da attacchi conosciuti non porterebbe grandi vantaggi, poiché si verrebbe inondati di falsi allarmi. Per questo motivo, le aziende scelgono spesso una piattaforma di analisi secondaria, come un sistema SIEM, per raccogliere e analizzare gli avvisi.
Non vi sono scorciatoie o approcci che vanno bene per tutti. Per fare in modo che l’IDS lavori con efficacia e precisione, ogni azienda deve essere pronta a renderlo conforme ai propri bisogni unici. Idealmente, il team informatico necessita di un analista di sistemi competente. Anche un IDS configurato e gestito nel migliore dei modi potrebbe non rilevare dei rischi effettivi, specialmente se riguardano nuove minacce informatiche: un po’ come un dottore che si trova davanti una fila di “pazienti zero”.
Il traffico crittografato può anche rivelarsi una sfida per la tecnologia IDS, che potrebbe non identificare le firme dei malware. Inoltre, l’alta velocità e la mole del traffico aziendale in arrivo possono limitare l’efficacia di un sistema di rilevamento delle intrusioni.
Vi sono tuttavia dei modi per migliorare l’utilizzo degli IDS. Prendiamo ora in esame gli honeypot.
Cos’è un honeypot?
Ricordi la descrizione delle “honey trap” in tempi di guerra, quando una donna (solitamente) attraente seduceva qualcuno in modo che questo le rivelasse i suoi segreti? Torniamo all’era digitale di oggi: gli “honeypot” digitali funzionano in maniera analoga, creando una trappola per gli hacker. L’honeypot sembra un normale sistema informativo completo di dati e applicazioni ed è progettato per indurre i criminali informatici a pensare che si tratti di un bersaglio autentico, come un database di clienti. Una volta entrati, gli hacker possono essere seguiti e il loro comportamento analizzato. Queste informazioni vengono quindi utilizzate per rendere più sicuri i sistemi aziendali.
Spesso negli honeypot vengono inserite vulnerabilità come password o porte deboli per attirare gli hacker. Si utilizzano diversi tipi di honeypot a seconda del tipo di minaccia informatica: un honeypot per malware imita le app e le API per attirare gli attacchi malware, mentre un honeypot spider può intrappolare i crawler del Web creando pagine e link Web accessibili solamente ad essi. Le trappole per spam inseriscono un indirizzo email fasullo in un punto sconosciuto individuabile solamente da un raccoglitore automatico di indirizzi. Tutte le mail che arrivano a quell’indirizzo vengono considerate come email di spam e gli indirizzi da cui provengono possono essere bloccati.
Perché è importante prendere in considerazione l’utilizzo di un sistema di rilevamento delle intrusioni? Ed è la scelta giusta per te?
Vi sono molteplici strumenti in grado di aiutare a rilevare e bloccare gli attacchi informatici e il traffico non autorizzato che cerca di entrare nella rete. Non esiste una tecnologia infallibile o una rete impenetrabile; di conseguenza, un IDS rappresenta un’aggiunta significativa al sistema di protezione aziendale. Il suo vantaggio principale è quello di avvisare i team IT di un’intrusione o di un attacco in rete in corso. Il tuo personale dispone di tempo, risorse, conoscenza e capacità idonei per agire correttamente quando riceve gli avvisi? È in grado di adattare il sistema in maniera continuativa in modo che sia in grado di distinguere i pericoli dalle situazioni normali? La quantità di avvisi può intimidire e i criminali informatici sono sempre in attività. Un IDS può essere una parte fondamentale della sicurezza di un’azienda, ma, proprio come un allarme antincendio, per lavorare efficacemente deve far parte di un sistema più ampio e coeso.