Vai al paragrafo

Cos'è un sistema di rilevamento e prevenzione delle intrusioni (IDPS)?

Copia URL

Un sistema di rilevamento e prevenzione delle intrusioni (IDPS) è una soluzione che si occupa di monitorare una rete per verificare la presenza di minacce e interviene per neutralizzarle se necessario.

Un IDPS è simile a un sistema di rilevamento delle intrusioni (IDS), ma con una sostanziale differenza: se entrambi i sistemi sono in grado di rilevare le minacce e segnalarle, un IDPS può anche intervenire attivamente per risolvere il problema. 

Un IDPS viene a volte chiamato anche sistema di prevenzione delle intrusioni (IPS). I termini IDPS e IPS si usano per lo più come sinonimi, ma in genere quando si parla di IPS si fa riferimento alla funzione di ricerca delle minacce di un IDPS.

Il funzionamento di un IDPS varia in base al provider, al metodo di deployment scelto e alle esigenze dell'organizzazione.

Tipologie di IDPS

IDPS basati sulla rete

Un IDPS basato sulla rete (NIPS) è un tipo di IDPS che viene installato in specifici punti della rete per esaminare tutto il traffico di rete e individuare le minacce. Il NIPS analizza le attività confrontandole con un database di attacchi noti che viene configurato manualmente da un esperto di sicurezza. Se un'attività corrisponde a una minaccia nota presente nel database, il sistema la blocca. Di solito un NIPS viene posizionato ai margini delle reti, in router o modem, dietro i firewall e nei punti di accesso remoti.

I NIPS si dividono in due sottocategorie:

  • Sistemi di prevenzione delle intrusioni wireless (WIPS) che monitorano le reti wireless alla ricerca di punti di accesso non autorizzati e dispositivi sospetti analizzando le frequenze radio della rete. I WIPS vengono distribuiti nelle reti wireless e nei punti vulnerabili ad accessi wireless non autorizzati.
  • Sistemi di analisi del comportamento di rete (NBA) che analizzano il traffico di rete alla ricerca di flussi insoliti. Pensiamo ad esempio a un attacco DDoS (Distributed Denial of Service) che mira a sovraccaricare la rete inviando migliaia di richieste. Ciascuna richiesta è di per sé valida e solo analizzando l'insieme del traffico di rete è possibile rilevare il problema. In genere le organizzazioni distribuiscono i sistemi NBA nelle loro reti interne di rinforzo a sistemi NIPS più standard.

IDPS basati sull'host

Gli IDPS basati sull'host (HIPS) vengono distribuiti sui singoli host, in genere server chiave con dati importanti, o in server pubblici che fungono da gateway alla rete interna dell'organizzazione. Un HIPS monitora esclusivamente il traffico dell'host su cui è istallato e si concentra in particolare sulle attività del sistema operativo e sulle attività relative alla suite di protocolli Internet (TCP/IP).

Metodi di rilevamento

Una volta installato, un IDPS utilizza diverse tecniche per identificare le minacce. Queste si possono suddividere in 3 categorie principali:

  • Il rilevamento basato sulla firma confronta le attività monitorate con un database dove sono raccolte le firme, schemi particolari o identificatori, delle minacce già identificate in precedenza. Questo metodo è utile per rilevare le minacce note, ma inadatto a gestire quelle nuove.
  • Il rilevamento basato sulle anomalie confronta un insieme casuale di attività di rete rispetto a uno standard di riferimento per la normale attività della rete. Se le attività analizzate si discostano eccessivamente dallo standard di riferimento, il sistema interviene. Questo metodo consente di rilevare anche le minacce nuove, ma crea un numero maggiore di falsi positivi rispetto al rilevamento basato sulla firma. Il rilevamento basato sulle anomalie è la funzionalità degli IDPS che trae maggiore giovamento dallo sviluppo degli algoritmi di intelligenza artificiale e machine learning.
  • Il rilevamento basato sui protocolli (o basato sulle policy) è simile al rilevamento basato sulla firma, ma utilizza un database di protocolli specifici definiti dall'organizzazione e blocca qualunque attività che viola tali protocolli. I protocolli vengono configurati manualmente da un esperto di sicurezza.

Tecniche di prevenzione

Dopo aver rilevato una potenziale minaccia, l'IDPS può comportarsi in diversi modi in base a come è stato configurato e al tipo di minaccia. Le azioni proattive più comuni di fronte al verificarsi di un attacco sono:

  • Invio di avvisi agli amministratori. È il tipo di risposta più elementare: l'IDPS invia un avviso agli amministratori della sicurezza, proprio come farebbe un sistema di rilevamento delle intrusioni. Questa tecnica viene adottata in tutti quei casi in cui un'azione automatica non è possibile o quando il sistema non riesce a stabilire se si tratta di un falso positivo.
  • Blocco delle attività dannose. In questo caso l'IDPS interviene prima che si verifichino degli incidenti bloccando le potenziali minacce, come le attività insolite di un indirizzo IP. Un esempio classico è il blocco di un indirizzo IP se supera il numero massimo di tentativi per l'inserimento di una password.
  • Modifica dell'ambiente di sicurezza. Simile al blocco delle attività dannose, con questa tecnica l'IDPS modifica le impostazioni di sicurezza dell'ambiente per prevenire l'accesso non autorizzato. L'IDPS può ad esempio riconfigurare un firewall.
  • Modifica del contenuto dell'attacco. Questa tecnica prevede di cambiare in maniera automatica il contenuto dell'attacco. Ad esempio, se viene individuata un'email sospetta, l'IDPS rimuoverà qualsiasi elemento dell'email che potrebbe contenere contenuti dannosi per la rete, come gli allegati.

Un IDPS è uno strumento utile sia per i team di sicurezza che per l'organizzazione in generale perché consente di:

  • Analizzare le attività e rispondere alle minacce senza l'intervento umano. Sebbene di solito le minacce complesse richiedano comunque l'intervento umano, un IDPS aiuta a rispondere in maniera coerente e rapida alle minacce più semplici e può notificare tempestivamente ai team la presenza di minacce complesse. Di conseguenza, i team di sicurezza possono intervenire rapidamente prima che si verifichino degli incidenti e possono far fronte a un numero maggiore di minacce.
  • Rilevare minacce che altrimenti passerebbero inosservate. Un IDPS, soprattutto se utilizza il rilevamento basato sulle anomalie, è in grado di segnalare minacce che gli esperti di sicurezza umani potrebbero non notare.
  • Garantire l'applicazione continua dei criteri di sicurezza e per gli utenti. La natura basata su regole di un IDPS assicura un rilevamento delle minacce coerente.
  • Soddisfare i requisiti di conformità. L'utilizzo di un IDPS riduce il numero di dipendenti che maneggiano i dati sensibili, un requisito normativo in molti settori.

Red Hat® Ansible® Automation Platform utilizza playbook, servizi di directory locali, registri consolidati e app esterne per integrare i team responsabili della sicurezza IT e automatizzare le loro soluzioni, consentendo così di analizzare le minacce e rispondere in modo unificato e coordinato.

I team di sicurezza possono utilizzare Ansible Automation Platform per orchestrare diverse soluzioni di sicurezza enterprise, tra cui firewall aziendali, sistemi di sicurezza informatica e gestione eventi (SIEM), IDPS e soluzioni di gestione degli accessi privilegiati (PAM), e collegare tutti questi strumenti in un impianto di sicurezza unificato.

Perché utilizzare Ansible Automation Platform con IDS o IDPS?

Ansible Automation Platform aiuta le organizzazioni ad automatizzare le soluzioni di sicurezza, fungendo da hub centrale per l'integrazione delle diverse tecnologie di sicurezza. Grazie agli Ansible Playbook, i risultati degli strumenti di sicurezza sono automaticamente visibili anche agli altri. Il lavoro sinergico dei diversi strumenti di sicurezza è essenziale per la ricerca delle minacce e riveste un ruolo centrale per i sistemi IDPS. Ansible Automation Platform permette di:

  • Distribuire nuove regole IDPS in modo dinamico e flessibile e automatizzare la configurazione tra la nuova regola IDPS e il relativo SIEM.
  • Facilitare la gestione delle firme e consentire l'aggiornamento automatico di un IDPS utilizzando firme provenienti da bollettini sulla sicurezza.
  • Mettere in correlazione le ricerche e l'automazione degli eventi all'interno dei sistemi SIEM. In questo modo gli analisti possono generare nuovi avvisi basati su azioni o modifiche eseguite su altri dispositivi di sicurezza.

Ansible Automation Platform può connettere le soluzioni di sicurezza al resto dell'infrastruttura e della rete aziendali. La piattaforma consente di automatizzare e integrare soluzioni di sicurezza diverse, semplificando così il rilevamento e la risposta alle minacce in tutta l'azienda, secondo modalità coordinate e unificate e con l'impiego di una raccolta idonea di moduli, ruoli e playbook.

I team aziendali possono anche trarre vantaggio dalle raccolte di contenuti certificati da Red Hat e dai suoi partner. Garantendo l'accesso a centinaia di moduli con cui gli utenti possono automatizzare tutti gli aspetti degli ambienti IT e dei processi di gestione, Ansible Automation Platform favorisce la collaborazione dei team di sicurezza e permette di gestire perimetri di sicurezza complessi.

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse