La differenza principale tra i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) è che gli IDS sono sistemi di monitoraggio e gli IPS sono sistemi di controllo. Gli IDS non alterano il traffico di rete, mentre gli IPS impediscono l’invio di pacchetti in base al contenuto del pacchetto, in modo simile a come un firewall impedisce il traffico in base all’indirizzo IP.
Gli IDS sono utilizzati per monitorare le reti e inviare avvisi quando viene rilevata un’attività sospetta su un sistema o una rete, mentre un IPS reagisce ai cyberattacchi in tempo reale con l’obiettivo di impedire loro di raggiungere sistemi e reti mirate.
In breve IDS e IPS hanno la capacità di rilevare le firme degli attacchi con la differenza principale che la loro risposta all’attacco. Tuttavia, è importante notare che sia gli IDS che gli IPS possono implementare gli stessi metodi di monitoraggio e rilevamento.
In questo articolo, abbiamo delineato le caratteristiche di un’intrusione, i vari vettori di attacco che i criminali informatici possono utilizzare per compromettere la sicurezza della rete, la definizione di IDS/IPS, e come possono proteggere la vostra rete e migliorare la cybersecurity.
- Cos’è un’intrusione nella rete?
- Cos’è un sistema di rilevamento delle intrusioni (IDS)?
- Come funziona un sistema di rilevamento delle intrusioni (IDS)?
- Quali sono i diversi tipi di sistemi di rilevamento delle intrusioni (IDS)?
- Cos’è un sistema di prevenzione delle intrusioni (IPS)?
- Come funziona un sistema di prevenzione delle intrusioni (IPS)?
- Quali sono i diversi tipi di intrusion prevention systems (IPS)?
- Quali sono i limiti dei sistemi di rilevamento delle intrusioni (IDS) e dei sistemi di prevenzione delle intrusioni (IPS)?
- Quali sono le differenze tra i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS)?
- Possono IDS e IPS lavorare insieme?
- In che modo i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) sono diversi dai firewall?
- Perché IDS e IPS sono importanti?
- Come UpGuard può integrare la tecnologia IDS e IPS
Cos’è un’intrusione nella rete?
Un’intrusione nella rete è qualsiasi attività non autorizzata su una rete di computer. Rilevare un’intrusione dipende dall’avere una chiara comprensione dell’attività di rete e delle comuni minacce alla sicurezza. Un sistema di rilevamento delle intrusioni di rete e un sistema di prevenzione delle intrusioni di rete progettati e implementati correttamente possono aiutare a bloccare gli intrusi che mirano a rubare dati sensibili, causare violazioni dei dati e installare malware.
Le reti e gli endpoint possono essere vulnerabili alle intrusioni da parte di attori minacciosi che possono trovarsi ovunque nel mondo e cercare di sfruttare la vostra superficie di attacco.
Le vulnerabilità di rete comuni includono:
- Malware: Malware, o software maligno, è qualsiasi programma o file che è dannoso per un utente di computer. I tipi di malware includono virus informatici, worm, cavalli di Troia, spyware, adware e ransomware. Leggi il nostro post completo sul malware qui.
- Attacchi di ingegneria sociale: L’ingegneria sociale è un vettore di attacco che sfrutta la psicologia umana e la suscettibilità per manipolare le vittime a divulgare informazioni riservate e dati sensibili o ad eseguire un’azione che infrange gli standard di sicurezza abituali. Esempi comuni di ingegneria sociale includono il phishing, lo spear phishing e gli attacchi whaling. Leggi il nostro post completo sull’ingegneria sociale qui.
- Software e hardware obsoleti o senza patch: Il software e l’hardware non aggiornati o non patchati possono avere vulnerabilità note come quelle elencate su CVE. Una vulnerabilità è una debolezza che può essere sfruttata da un attacco informatico per ottenere un accesso non autorizzato o eseguire azioni non autorizzate su un sistema informatico. Le vulnerabilità wormable come quella che ha portato al WannaCryransomware sono particolarmente ad alto rischio. Leggi il nostro post completo sulle vulnerabilità per maggiori informazioni.
- Dispositivi di archiviazione dati: I dispositivi di archiviazione portatili come USB e dischi rigidi esterni possono introdurre malware nella vostra rete.
Cos’è un sistema di rilevamento delle intrusioni (IDS)?
Un sistema di rilevamento delle intrusioni (IDS) è un dispositivo o un’applicazione software che monitora una rete o un sistema per attività dannose e violazioni delle politiche. Qualsiasi traffico dannoso o violazione viene in genere segnalato a un amministratore o raccolto a livello centrale utilizzando un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM).
Come funziona un sistema di rilevamento delle intrusioni (IDS)?
Ci sono tre varianti di rilevamento comuni che gli IDS utilizzano per monitorare le intrusioni:
- Rilevamento basato sulla firma: Rileva gli attacchi cercando modelli specifici, come le sequenze di byte nel traffico di rete o utilizzare le firme (note sequenze di istruzioni dannose) utilizzate dal malware. Questa terminologia ha origine dal software antivirus che si riferisce a questi modelli come firme. Mentre gli IDS basati sulle firme possono facilmente rilevare i cyberattacchi conosciuti, essi lottano per rilevare nuovi attacchi dove non è disponibile alcun modello.
- Rilevamento basato sulle anomalie: Un sistema di rilevamento delle intrusioni per rilevare sia le intrusioni di rete e di computer che l’uso improprio monitorando l’attività del sistema e classificandola come normale o anomala. Questo tipo di sistema di sicurezza è stato sviluppato per rilevare attacchi sconosciuti, in parte a causa del rapido sviluppo del malware. L’approccio di base è quello di utilizzare l’apprendimento automatico per creare un modello di attività affidabile e confrontare il nuovo comportamento al modello. Poiché questi modelli possono essere addestrati in base a specifiche applicazioni e configurazioni hardware, hanno proprietà più generalizzate rispetto ai tradizionali IDS basati sulla firma. Tuttavia, soffrono anche di più falsi positivi.
- Rilevamento basato sulla reputazione: Riconosce le potenziali minacce informatiche in base ai punteggi di reputazione.
Quali sono i diversi tipi di sistemi di rilevamento delle intrusioni (IDS)?
I sistemi IDS possono spaziare da singoli computer a grandi reti e sono comunemente classificati in due tipi:
- Network intrusion detection system (NIDS): Un sistema che analizza il traffico di rete in entrata. I NIDS sono collocati in punti strategici all’interno delle reti per monitorare il traffico da e verso i dispositivi. Esegue un’analisi del traffico che passa sull’intera subnet e abbina il traffico che passa sulle subnet a una libreria di attacchi conosciuti. Quando viene identificato un attacco, un allarme può essere inviato a un amministratore.
- Host-based intrusion detection system (HIDS): Un sistema che esegue e monitora importanti file del sistema operativo su singoli host o dispositivi. Un HIDS controlla i pacchetti in entrata e in uscita dal dispositivo e avvisa l’utente o l’amministratore se viene rilevata un’attività sospetta. Prende un’istantanea dei file di sistema esistenti e li confronta con le istantanee precedenti, se i file critici sono stati modificati o cancellati, viene emesso un allarme.
Cos’è un sistema di prevenzione delle intrusioni (IPS)?
Un sistema di prevenzione delle intrusioni (IPS) o sistemi di rilevamento e prevenzione delle intrusioni (IDPS) sono applicazioni di sicurezza della rete che si concentrano sull’identificazione di possibili attività dannose, registrando le informazioni, segnalando i tentativi e cercando di prevenirle. I sistemi IPS spesso si trovano direttamente dietro il firewall.
Inoltre, le soluzioni IPS possono essere utilizzate per identificare i problemi con le strategie di sicurezza, documentare le minacce esistenti e dissuadere gli individui dal violare le politiche di sicurezza.
Per fermare gli attacchi, un IPS può cambiare l’ambiente di sicurezza, riconfigurando un firewall, o cambiando il contenuto dell’attacco.
Molti considerano i sistemi di prevenzione delle intrusioni come estensioni dei sistemi di rilevamento delle intrusioni, poiché entrambi monitorano il traffico di rete e/o le attività del sistema per attività dannose.
Come funziona un sistema di prevenzione delle intrusioni (IPS)?
I sistemi di prevenzione delle intrusioni (IPS) funzionano analizzando tutto il traffico di rete attraverso uno o più dei seguenti metodi di rilevamento:
- Rilevamento basato sulla firma: Gli IPS basati sulle firme monitorano i pacchetti in una rete e li confrontano con modelli di attacco preconfigurati e predeterminati, noti come firme.
- Rilevamento statistico basato sulle anomalie: Un IPS che è basato sulle anomalie monitora il traffico di rete e lo confronta con una linea di base stabilita. Questa linea di base viene utilizzata per identificare ciò che è “normale” in una rete, ad esempio quanta larghezza di banda viene utilizzata e quali protocolli vengono utilizzati. Mentre questo tipo di rilevamento delle anomalie è buono per identificare nuove minacce, può anche generare falsi positivi quando gli usi legittimi della larghezza di banda superano una linea di base o quando le linee di base sono mal configurate.
- Rilevamento dell’analisi del protocollo statico: Questo metodo identifica le deviazioni negli stati di protocollo confrontando gli eventi osservati con profili predeterminati di definizioni generalmente accettate di attività benigne.
Una volta rilevato, un IPS esegue l’ispezione dei pacchetti in tempo reale su ogni pacchetto che viaggia attraverso la rete e se ritenuto sospetto, l’IPS eseguirà una delle seguenti azioni:
- Terminare la sessione TCP che è stata sfruttata
- Bloccare l’indirizzo IP incriminato o l’account utente dall’accesso a qualsiasi applicazione, host o risorsa di rete
- Riprogrammare o riconfigurare il firewall per prevenire un attacco simile in un secondo momento
- Rimuovere o sostituire il contenuto dannoso che rimane dopo un attacco riconfezionando il carico utile, rimuovendo le informazioni dell’intestazione, o distruggendo i file infetti
Quando distribuito correttamente, questo permette a un IPS di prevenire gravi danni causati da pacchetti dannosi o indesiderati e una serie di altre minacce informatiche, tra cui:
- Distributed denial of service (DDOS)
- Exploit
- Worms
- Virus
- Brute force attacks
Quali sono i diversi tipi di intrusion prevention systems (IPS)?
I sistemi di prevenzione delle intrusioni sono generalmente classificati in quattro tipi:
- Sistema di prevenzione delle intrusioni basato sulla rete (NIPS): I NIPS rilevano e prevengono le attività dannose o sospette analizzando i pacchetti in tutta la rete. Una volta installati, i NIPS raccolgono informazioni dall’host e dalla rete per identificare gli host, le applicazioni e i sistemi operativi consentiti sulla rete. Registrano anche le informazioni sul traffico normale per identificare i cambiamenti dalla linea di base. Possono prevenire gli attacchi inviando una connessione TCP, limitando l’uso della larghezza di banda o rifiutando i pacchetti. Anche se utili, in genere non possono analizzare il traffico di rete criptato, gestire alti carichi di traffico o gestire attacchi diretti contro di loro.
- Sistema di prevenzione delle intrusioni wireless (WIPS): I WIPS monitorano lo spettro radio per la presenza di punti di accesso non autorizzati e prendono automaticamente delle contromisure per rimuoverli. Questi sistemi sono tipicamente implementati come un overlay a un’infrastruttura LAN wireless esistente, anche se possono essere implementati autonomamente per far rispettare le politiche no-wireless all’interno di un’organizzazione. Alcune infrastrutture wireless avanzate hanno capacità WIPS integrate. I seguenti tipi di minacce possono essere prevenuti da un buon WIPS: punti di accesso canaglia, punti di accesso mal configurati, attacchi man-in-the-middle, spoofing MAC, honeypot, e attacchi denial of service.
- Analisi del comportamento della rete (NBA): Questo tipo di sistema di prevenzione delle intrusioni si basa sul rilevamento basato sulle anomalie e cerca le deviazioni da ciò che è considerato un comportamento normale in un sistema o in una rete. Ciò significa che richiede un periodo di addestramento per profilare ciò che è considerato normale. Una volta che il periodo di addestramento è finito, le incongruenze sono segnalate come dannose. Mentre questo è buono per rilevare nuove minacce, i problemi possono sorgere se la rete è stata compromessa durante il periodo di formazione, in quanto il comportamento dannoso può essere considerato normale. Inoltre, questi strumenti di sicurezza possono produrre falsi positivi.
- Sistema di prevenzione delle intrusioni basato sull’host (HIPS): Un sistema o un programma impiegato per proteggere i sistemi informatici critici. Gli HIPS analizzano l’attività su un singolo host per rilevare e prevenire attività dannose, principalmente attraverso l’analisi del comportamento del codice. Sono spesso lodati per essere in grado di prevenire gli attacchi che utilizzano la crittografia. Gli HIPS possono anche essere utilizzati per impedire che informazioni sensibili come le informazioni di identificazione personale (PII) o le informazioni sanitarie protette (PHI) vengano estratte dall’host. Poiché gli HIPS vivono su una singola macchina, sono meglio utilizzati insieme agli IDS e agli IPS basati sulla rete, così come gli IPS.
Quali sono i limiti dei sistemi di rilevamento delle intrusioni (IDS) e dei sistemi di prevenzione delle intrusioni (IPS)?
I limiti degli IDS e degli IPS includono:
- Rumore: Pacchetti cattivi generati da bug, dati DNS corrotti e pacchetti locali che sfuggono possono limitare l’efficacia dei sistemi di rilevamento delle intrusioni e causare un alto tasso di falso allarme.
- Falsi positivi: Non è raro che il numero di attacchi reali sia sovrastimato dal numero di falsi allarmi. Questo può far sì che gli attacchi reali siano mancati o ignorati.
- Database di firme obsolete: Molti attacchi sfruttano vulnerabilità note, il che significa che la libreria di firme deve rimanere aggiornata per essere efficace. I database delle firme non aggiornati possono lasciarvi vulnerabili alle nuove strategie.
- Il ritardo tra la scoperta e l’applicazione: Per il rilevamento basato sulla firma, ci può essere un ritardo tra la scoperta di un nuovo tipo di attacco e l’aggiunta della firma al database delle firme. Durante questo tempo, l’IDS non sarà in grado di identificare l’attacco.
- Protezione limitata da identificazione o autenticazione debole: Se un aggressore ottiene l’accesso a causa di una scarsa sicurezza delle password, allora un IDS potrebbe non essere in grado di impedire all’avversario qualsiasi malcostume.
- Mancanza di elaborazione dei pacchetti criptati: La maggior parte degli IDS non elabora i pacchetti criptati, il che significa che possono essere utilizzati per l’intrusione in una rete e potrebbero non essere scoperti.
- Affidamento sull’attributo IP: Molti IDS forniscono informazioni basate sull’indirizzo di rete che è associato al pacchetto IP inviato alla rete. Questo è vantaggioso se il pacchetto IP è accurato, ma può essere falsificato o criptato. Vedi il nostro post sui limiti dell’attribuzione IP per ulteriori informazioni.
- Suscettibili agli stessi attacchi basati sul protocollo da cui sono progettati per proteggere: A causa della natura dei NIDS e della necessità di analizzare i protocolli che catturano, possono essere vulnerabili a certi tipi di attacchi. Per esempio, dati non validi e attacchi allo stack TCP/IP possono causare il crash dei NIDS.
Quali sono le differenze tra i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS)?
La differenza principale è che un IDS è un sistema di monitoraggio e un IPS è un sistema di controllo. Entrambi gli IDS/IPS leggono i pacchetti di rete e confrontano il loro contenuto con un database di minacce conosciute o attività di base. Tuttavia, gli IDS non alterano i pacchetti di rete mentre gli IPS possono impedire l’invio dei pacchetti in base al loro contenuto, proprio come fa un firewall con un indirizzo IP:
- Sistemi di rilevamento delle intrusioni (IDS): Analizzano e monitorano il traffico alla ricerca di indicatori di compromissione che possono indicare un’intrusione o un furto di dati. Gli IDS confrontano l’attività di rete corrente con le minacce conosciute, le violazioni dei criteri di sicurezza e la scansione delle porte aperte. Gli IDS richiedono un uomo o un altro sistema per guardare i risultati e determinare come rispondere, rendendoli migliori come strumenti di digital forensics post-mortem. Inoltre, gli IDS non sono in linea, quindi il traffico non deve fluire attraverso di essi.
- Sistemi di prevenzione delle intrusioni (IPS): Gli IPS hanno anche capacità di rilevamento, ma negheranno proattivamente il traffico di rete se credono che rappresenti una minaccia alla sicurezza nota.
Possono IDS e IPS lavorare insieme?
Sì, IDS e IPS lavorano insieme. Molti venditori moderni combinano IDS e IPS con i firewall. Questo tipo di tecnologia è chiamata Next-Generation Firewall (NGFW) o Unified Threat Management (UTM).
In che modo i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) sono diversi dai firewall?
I firewall di rete tradizionali usano un insieme statico di regole per permettere o negare le connessioni di rete. Questo può prevenire le intrusioni, assumendo che siano state definite regole appropriate. Essenzialmente, i firewall sono progettati per limitare l’accesso tra le reti per prevenire le intrusioni, ma non impediscono gli attacchi dall’interno di una rete.
IDS e IPS inviano avvisi quando sospettano un’intrusione e monitorano anche gli attacchi dall’interno di una rete. Si noti che i firewall di nuova generazione generalmente combinano la tecnologia firewall tradizionale con deep packet inspection, IDS e IPS.
Perché IDS e IPS sono importanti?
I team della sicurezza si trovano ad affrontare un elenco sempre crescente di preoccupazioni per la sicurezza, dalle filiali e fughe di dati alle multe per la conformità, pur essendo vincolati da budget e politiche aziendali. La tecnologia IDS e IPS può aiutare a coprire parti specifiche e importanti del vostro programma di gestione della sicurezza:
- Automazione: Una volta configurati IDS e IPS sono generalmente hands-off, il che significa che sono un ottimo modo per migliorare la sicurezza della rete senza bisogno di persone aggiuntive.
- Conformità: Molte normative richiedono di dimostrare di aver investito in tecnologia per proteggere i dati sensibili. L’implementazione di un IDS o IPS può aiutarvi ad affrontare una serie di controlli CIS. Ancora più importante, possono aiutare a proteggere voi e i dati più sensibili dei vostri clienti e migliorare la sicurezza dei dati.
- Applicazione delle politiche: IDS e IPS sono configurabili per aiutarvi a far rispettare le vostre politiche di sicurezza delle informazioni a livello di rete. Per esempio, se si supporta solo un sistema operativo, è possibile utilizzare un IPS per bloccare il traffico proveniente da altri.
Come UpGuard può integrare la tecnologia IDS e IPS
Aziende come Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar e NASA utilizzano le valutazioni di sicurezza di UpGuard per proteggere i loro dati, prevenire violazioni dei dati e valutare le loro operazioni di sicurezza.
Per la valutazione dei vostri controlli di sicurezza delle informazioni, UpGuard BreachSight può monitorare la vostra organizzazione per 70+ controlli di sicurezza fornendo un rating di sicurezza informatica semplice e di facile comprensione e rilevando automaticamente le credenziali trapelate e l’esposizione dei dati nei bucket S3, nei server Rsync, nei repo GitHub e altro ancora.
UpGuard Vendor Risk può ridurre al minimo la quantità di tempo che la vostra organizzazione spende per valutare i controlli di sicurezza delle informazioni relativi e di terze parti automatizzando i questionari dei fornitori e fornendo modelli di questionari per i fornitori.
Possiamo anche aiutarvi a confrontare istantaneamente i vostri fornitori attuali e potenziali rispetto al loro settore, in modo da poter vedere come si impilano.
La principale differenza tra UpGuard e altri fornitori di rating di sicurezza è che ci sono prove molto pubbliche della nostra esperienza nel prevenire violazioni e perdite di dati.
La nostra esperienza è stata descritta in articoli come il New York Times, il Wall Street Journal, Bloomberg, il Washington Post, Forbes, Reuters e TechCrunch.
Puoi leggere di più su ciò che dicono i nostri clienti sulle recensioni di Gartner.
Se vuoi vedere il rating di sicurezza della tua organizzazione, clicca qui per richiedere il tuo Cyber Security Rating gratuito.
Ottieni oggi una prova gratuita di 7 giorni della piattaforma UpGuard.