Intrusion Detection system (IDS) e IPS – Intrusion prevention sytem sono due concetti da considerare complementari. Gli IDS, in sintesi, si occupano di monitorare il traffico di rete alla ricerca di attività sospette, gli IPS hanno il compito di bloccarle.
Secondo i dati dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, nel 2023 il 74% delle grandi aziende italiane ha constatato un aumento dei tentativi di attacco subiti e il 12% ha riscontrato effetti molto tangibili in termini economici e/o reputazionali da incidenti informatici.
Mettendo all’opera IDS e IPS le organizzazioni possono innalzare i loro livelli di protezione.
Che significa IDS e cosa fa?
Un Intrusion Detection System è lo strumento sviluppato per studiare costantemente come agiscono i sistemi e intercettare segnali di azioni malevole e contrarie alle politiche di sicurezza. Solitamente non influiscono sul funzionamento dell’infrastruttura stessa.
Analizzano i dati, sfruttando varie tecnologie quali il rilevamento basato su firme (ossia confrontano fenomeni anomali con quelli contenuti in database di attacchi noti) o sull’osservazione di deviazioni dai comportamenti consueti.
Quando identificano potenziali violazioni della privacy o possibili modelli di attacco e discostamenti dai normali flussi tali sistemi generano allarmi destinati ai responsabili IT e agli amministratori di rete che possono valutare cosa fare.
HIDS e NIDS, gli Intrusion detection system basati su host e su rete
Gli HIDS sono soluzioni implementate su determinati dispositivi e ne controllano le attività (per esempio i log di accesso, le modifiche a documenti e dati critici eccetera). Sono adottati su server e workstation particolarmente importanti da difendere, macchine che non possono rischiare di avere accessi non autorizzati o alterazioni a file fondamentali quali quelli di configurazione.
I NIDS vengono posizionati, invece, in nodi strategici del network aziendale per verificare il transito dei pacchetti di dati tra i device. Sono efficaci nell’evidenziare tentativi di scansione delle porte o DoS (Denial of Service) attack, oppure ancora azioni di SQL injection (cioè di iniezione di codice malware nei campi di input di un’applicazione) verificando le richieste http.
Le piccole e medie imprese italiane sono sotto attacco: scopri i più recenti dati sulla network security
Cos’è un IPS e come funziona?
Cosa fa un IPS? A differenza del precedente strumento che svolge un ruolo di monitoraggio e segnalazione, un Intrusione Prevention System ha un compito di intervento per evitare compromissioni di reti e macchine aziendali.
Può essere configurato per compiere varie azioni da quelle immediate di correzione (dal blocco dei pacchetti di dati sospetti alla chiusura della connessione di rete in cui è emerso un problema oppure ancora alla sospensione dell’applicazione compromessa) a quelle preventive, quali la modifica delle regole dei firewall per evitare la possibilità di subire danni in futuro.
Così facendo, gli IPS assicurano una protezione continua e tanto più efficace quanto più le tecnologie su cui sono basati sono evolute. Sistemi di IPS che integrano algoritmi di intelligenza artificiale sono più efficienti nell’esaminare e paragonare una grande quantità di dati automatizzando poi la contromisura. Gli IPS aiutano ad applicare le policy di sicurezza della rete interrompendo immediatamente imput di utenti illegittimi e in quanto tali non autorizzati.
Per verificare la presenza di problematiche anche l’IPS adotta le stesse tecniche degli IDS (confronto con i database di vulnerabilità eccetera). Ugualmente ai precedenti, anche i sistemi di prevenzione delle intrusioni possono essere caricati su specifici endpoint e/o sulle reti.
Qual è la differenza tra IDS e IPS?
Gli Intrusion detection system e gli Intrusion prevention system adottano un comportamento praticamente opposto: i primi un atteggiamento passivo, i secondi attivo, per collaborare al raggiungimento dello stesso risultato di salvaguardia dagli incidenti.
Gli IDS cercano di individuare velocemente anomalie e comunicazioni/connessioni sospette all’interno delle infrastrutture IT e di rete.
Gli IPS intervengono per non fare andare a buon fine gli attacchi ostacolandoli in tempo reale.
Quale ruolo svolgono in una strategia di cybersecurity?
Questi strumenti sono indubbiamente diversi, ma svolgono un ruolo ugualmente importante nell’ostacolare i tentativi di attuazione delle minacce informatiche.
IDS e IPS servono dunque per identificare i pericoli e fare in modo che non si insinuino all’interno delle organizzazioni.
Integrando IDS e IPS le organizzazioni possono prevenire tante tipologie di attacchi e migliorano la loro resilienza. Secondo alcuni studiosi, questa integrazione promuove la cosiddetta Next Generation firewall. Il firewall tradizionalmente inteso si “limita” infatti a fermare gli attacchi che provengono dall’esterno. IDS e IPS lavorano osservando e proteggendo il funzionamento di tutta la rete, non solo il suo perimetro.
Insieme i due sistemi, inoltre, concorrono a definire il quadro di Unified Threat Management. Gestire in modo unificato le minacce aiuta a non disperdere risorse, a non sprecare tempo, oltre che ovviamente a non dover correre ai ripari una volta che l’attacco viene perpetrato.
IDS o IPS: quale scegliere per la tua azienda?
Qual è la scelta ideale tra IDS e IPS? La cosa migliore per prendere la decisione corretta è analizzare vantaggi e svantaggi delle due soluzioni.
Gli IDS, come spiegato più sopra, sono dei controllori e sottopongono il problema trovato ai responsabili, solo questi ultimi potranno provvedere a attuare delle soluzioni. Adottando queste soluzioni non si rischiano mai interruzioni di servizio automatiche.
Sono perciò prodotti utili a chi ha bisogno di visibilità, ma d’altra parte, può contare sulle risorse necessarie a gestire le risposte a eventuali pericoli.
Gli IPS garantiscono protezione immediata contro le intrusioni il che minimizza il tempo di esposizione ai rischi. Il problema di queste soluzioni sono i falsi positivi e quindi la possibilità che si creino inutilmente dei disservizi.
Ciò significa, che gli IPS, per esempio, sono più adatti per quelle organizzazioni che possono permettersi piccole discontinuità e allo stesso tempo sono in grado di risolverle velocemente.
Tutto questo per dire che le valutazioni fondamentali da fare per scegliere tra IDS e IPS sono di 3 tipi:
- tipologia del business, aziende che trattano dati sensibili o hanno infrastrutture particolarmente critiche possono avere più benefici da un IPS che delinea la situazione e lascia la responsabilità di intervento alle persone;
- livelli di rischio, aziende appartenenti a settori ad alto rischio (sanità, finance, utility eccetera) necessitano di un intervento immediato in caso di minaccia anche se si tratta di un errore di valutazione e ne consegue un’interferenza sul traffico che si poteva evitare: esse, infatti, non possono permettersi violazioni dei dati;
- risorse disponibili: più persone e competenze si hanno maggiormente si riescono a gestire le analisi restituite da un IDS. Un IPS, d’altro canto, richiede una accurata configurazione (proprio per cercare di minimizzare le possibilità di sbagliare). In generale, questi compiti possono essere delegati a partner tecnologici esperti.
Insomma, ogni realtà fa a sé. Spesso una combinazione tra le due soluzioni potrebbe in tanti casi risultare l’opzione più adatta.
IDS e IPS integrati: un approccio combinato
Combinare IDS e IPS significa poter contare su una strategia di difesa multilivello, su sentinelle sempre vigili rispetto a possibili cyber attack e, parallelamente, su strumenti di difesa capaci di neutralizzare la possibilità di compromissione di dati e infrastrutture hardware e software.
Le strategie di sicurezza più moderne e innovative prevedono un approccio integrato di IDS e IPS.
Si sente ormai spesso parlare dell’IDPS – Instrusion Detection and Prevention System che consiste in un sistema che vanta i punti di forza di IDS e IPS e, pertanto, monitora le attività e annienta le minacce garantendo risposte automatizzate.
Con questa tipologia di soluzioni avanzate è possibile essere molto efficaci nel prevenire i rischi, minimizzare i tempi di reazione ma anche poter fruire di una grande quantità di dati e capacità di analisi per studiare l’evoluzione della cybersecurity, per evitare il più possibile i rischi di falsi positivi o negativi e restare al passo con i propri piani di protezione.
IDS e IPS sono tra i sistemi imprescindibili da porre alle fondamenta della costruzione di una strategia di sicurezza robusta. Il mercato offre una vasta scelta di prodotti flessibili e adattabili a qualsiasi esigenza di protezione di dati e infrastrutture.
Partner di consolidata esperienza come DigitelNET sono a disposizione delle aziende per dare il supporto necessario all’implementazione di queste tecnologie di security nell’ecosistema IT e per aiutarle a configurarle al meglio. Un team di esperti offre consulenza personalizzata per mettere a punto tutto ciò che occorre per ottenere una vision chiara e definita di ciò che si deve fare.
