Cos’è un Intrusion Detection System (IDS)?
I moderni Intrusion Detection System (in italiano: “sistema di rilevamento delle intrusioni) sono una valida integrazione al convenzionale firewall. Analizzano e monitorano sistemi e intere reti in tempo reale e quando rilevano potenziali fonti di pericolo allertano immediatamente l’amministratore o l’amministratrice. La difesa vera e propria contro l’attacco è poi affidata a un altro software.
Cosa c’è dietro un IDS (Intrusion Detection System)?
Per quanto i moderni sistemi di sicurezza per i computer e le reti siano avanzati, anche i cyberattacchi diventano sempre più astuti e ben studiati. Per questo motivo è consigliabile proteggere le infrastrutture sensibili con diversi meccanismi. Un Intrusion Detection System (IDS) è un’integrazione eccellente per il firewall: un sistema di questo tipo rileva tempestivamente gli attacchi e i potenziali pericoli, informando subito gli amministratori e le amministratrici, che possono così intraprendere le azioni di difesa necessarie. Il sistema di rilevamento delle intrusioni è inoltre in grado di individuare gli attacchi quando hanno già superato il firewall.
A differenza ad esempio di un Intrusion Prevention System, un IDS non difende dagli attacchi, ma analizza tutte le attività in una rete e le confronta con appositi modelli. Se si verificano azioni insolite, il sistema allerta l’utente fornendo informazioni precise sull’origine e il tipo di attacco.
Puoi trovare maggiori informazioni sulle differenze tra IDS e IPS nel nostro articolo dedicato all’argomento.
Quali sono i tipi di Intrusion Detection System?
Si distingue tra tre tipi di IDS: possono essere basati su host (HIDS), basati su rete (NIDS) o ibridi (ovvero combinare HIDS e NIDS).
HIDS: Intrusion Detection System basati su host
L’Intrusion Detection System basato su host è la forma più vecchia del sistema di sicurezza. L’IDS viene installato direttamente sul relativo sistema. Analizza i dati direttamente a livello di registro e di kernel, controllando anche altri file di sistema. Per poter essere usato nelle stazioni di lavoro autonome, l’Intrusion Detection System basato su host ricorre ad agenti di monitoraggio che prefiltrano il traffico di dati e inoltrano le informazioni così acquisite al server centrale. Il metodo è molto preciso ed esteso, ma può essere aggirato dagli attacchi DoS e DDoS. Inoltre, questo sistema di rilevamento delle intrusioni dipende dal sistema operativo.
NIDS: Intrusion Detection System basati su rete
Un IDS basato su rete scansiona i pacchetti di dati che vengono inviati e ricevuti all’interno di una rete. Così, i modelli insoliti o discordanti vengono rilevati e segnalati rapidamente. Da questo punto di vista, il volume di dati inviati può risultare problematico. Se supera le capacità dell’Intrusion Detection System, il monitoraggio non riesce più a essere capillare.
Intrusion Detection System ibrido
Oggi si punta molto sugli Intrusion Detection System ibridi, che coniugano i due diversi approcci. Questi sistemi sono costituiti da sensori basati su host, sensori basati su rete e un livello di gestione in cui confluiscono i risultati, che vengono poi analizzati approfonditamente. Anche il comando parte da questo livello.
Scopo d’impiego e vantaggi di un IDS
Un Intrusion Detection System non dovrebbe mai essere considerato o usato come un sostituto del firewall. Costituisce invece un’eccellente integrazione per identificare meglio i pericoli lavorando in tandem con il firewall. Poiché l’Intrusion Detection System può analizzare autonomamente il più alto livello del modello ISO/OSI, spesso rileva fonti di pericolo nuove e precedentemente sconosciute, anche quando il firewall è già stato superato.
- Protezione contro gli attacchi ransomware
- Protezione antivirus
- Backup automatici e recupero dei file persi
Come funziona un Intrusion Detection System?
Il tipo più utilizzato di Intrusion Detection System è quello ibrido, che lavora sia sull’host sia nella rete. Le informazioni raccolte vengono valutate nel sistema di gestione centrale, dove lavorano tre diversi componenti.
Monitoraggio dati
Con il monitoraggio dati, appositi sensori raccolgono tutti i dati pertinenti e li filtrano in base alla rilevanza. Si tratta sia di informazioni da parte dell’host sia di file di registro e dati di sistema. Vengono considerati anche i pacchetti di dati inviati attraverso la rete. L’IDS rileva e ordina anche indirizzi di origine e di destinazione e altre caratteristiche importanti. Il presupposto più importante è che i dati raccolti provengano da una fonte affidabile o dallo stesso Intrusion Detection System. Solo in questo modo è possibile garantire che i dati non siano stati precedentemente manipolati.
Analisi
Il secondo componente dell’Intrusion Detection System è l’analizzatore, che valuta tutti i dati ottenuti e prefiltrati sfruttando diversi modelli. Il controllo viene eseguito in tempo reale, operazione che in determinate circostanze può sottoporre a forte sollecitazione soprattutto la CPU e la RAM. L’analisi può essere eseguita in modo rapido e ordinato solo quando le capacità necessarie sono sufficienti. L’analizzatore può contare su due metodi diversi:
- Misuse Detection: con la tecnica del Misuse Detection (traducibile con “rilevamento per uso improprio”), l’analizzatore tenta di riconoscere tra i dati ricevuti schemi di attacco già noti. Questi sono salvati in un database separato, che viene aggiornato regolarmente. Gli attacchi sferrati con una firma già registrata possono così essere rilevati tempestivamente. Quelli che invece non sono ancora noti al sistema non vengono rilevati.
- Anomaly Detection: questa tecnica (traducibile con “rilevamento per anomalia”) si basa sull’osservazione dell’intero sistema. Non appena una o più fasi di lavoro deviano dalla norma, viene segnalata l’anomalia, ad esempio quando il carico della CPU supera un valore prestabilito o gli accessi a una pagina aumentano in modo inusuale. L’Intrusion Detection System può anche controllare la successione temporale degli eventi per rilevare gli schemi di attacco sconosciuti. Talvolta vengono però segnalate anche anomalie innocue.
Tra le anomalie tipiche rilevate da un buon IDS rientrano un aumento del traffico e degli accessi ai meccanismi di login e di autenticazione. Per questo motivo questa tecnologia di sicurezza è una soluzione eccellente contro gli attacchi di forza bruta. Per aumentare il tasso di successo, molti moderni Intrusion Detection System ricorrono all’IA per l’Anomaly Detection.
Allarme
Il terzo e ultimo passaggio dell’Intrusion Detection System è l’invio effettivo dell’allarme. Nel caso in cui sia stato rilevato un attacco o sia stato registrato un comportamento sospetto, il sistema informa l’amministratore o l’amministratrice. La notifica può essere inviata per e-mail, tramite un allarme locale o un messaggio sullo smartphone o sul tablet.
Quali sono gli svantaggi di un Intrusion Detection System?
Nonostante l’Intrusion Detection System sia un’ottima integrazione per l’architettura di sicurezza, neanche questo metodo è a prova di errori. Abbiamo già abbozzato sopra alcuni dei possibili svantaggi. Gli IDS basati su host sono soggetti ad attacchi DDoS, mentre quelli basati su rete possono raggiungere i loro limiti nelle strutture di rete più grandi, lasciandosi sfuggire pacchetti di dati. Allo stesso tempo, spesso con determinate configurazioni l’Anomaly Detection segnala falsi allarmi. Inoltre, l’IDS è idoneo soltanto per rilevare i pericoli. Per la difesa contro gli attacchi serve un altro software.
Intrusion Detection System: l’esempio Snort
Uno degli IDS più famosi e più amati è Snort. Questo strumento di sicurezza, sviluppato da Martin Roesch già nel 1998, non solo è multipiattaforma e open source, ma mette anche a disposizione degli utenti ampie misure di prevenzione come Intrusion Prevention System. Il programma è proposto in una versione gratuita e in una a pagamento, che comprende tra l’altro aggiornamenti più rapidi.