Ogni attacco informatico pone sfide uniche: le soluzioni di sicurezza a taglia unica sono raramente efficaci. Due metodi particolari sono talvolta paragonati come soluzioni alternative per combattere le minacce: Intrusion Detection Systems (IDS) e Intrusion Prevention Systems (IPS).
I due sistemi condividono molte somiglianze e possono essere ugualmente utili, a seconda delle capacità e delle esigenze specifiche dell’azienda o degli amministratori del sito. Quindi, cosa sono IDS e IPS, e uno è meglio dell’altro?
IDS vs IPS
- Instrusion Detection System (IDS)
IDS scansionano il traffico in entrata per potenziali minacce e attacchi informatici. Utilizzando vari metodi di rilevamento (ne parleremo più avanti), controllano qualsiasi attività sospetta che potrebbe minacciare le reti o i dispositivi che coprono. Avendo rilevato un’azione sospetta o proibita, il sistema invierà un rapporto a un sito web o all’amministratore della rete.
- I sistemi di prevenzione delle intrusioni (IPS)
IPS hanno un approccio più proattivo e tentano di bloccare il traffico in entrata se rilevano una minaccia. Questo processo si basa sugli stessi meccanismi di rilevamento degli IDS, ma li supporta con misure di prevenzione proattive.
Come funzionano gli Intrusion Detection Systems?
Un IDS è essenzialmente una vedetta che individua il nemico in arrivo e avvisa i suoi superiori. La vedetta stessa è lì solo per scansionare le minacce, non per neutralizzarle. È un sistema progettato per lavorare in tandem con gli amministratori umani, che possono quindi rispondere efficacemente ad ogni minaccia unica. La maggior parte degli IDS rientrano in queste due categorie:
- Network Intrusion Detection System (NIDS): Un NIDS monitora il traffico di rete per qualsiasi potenziale minaccia, senza concentrarsi su un dispositivo. Questo è il sistema preferito dagli amministratori che gestiscono un grande ecosistema di hardware o applicazioni collegate; con un NIDS, possono lanciare una rete più ampia.
- Host Intrusion Detection System (HIDS): Questo approccio è molto più specifico del NIDS. A differenza della sua controparte, un HIDS si concentra solo su un singolo “host”, un dispositivo come un computer o un server. Oltre a monitorare il traffico in entrata che l’hardware riceve, analizza anche il software su quel dispositivo per qualsiasi attività insolita.
È importante capire che questi sistemi non si escludono a vicenda. Mentre il NIDS può offrire grandi miglioramenti alla sicurezza di tutta la rete, l’HIDS fornisce una protezione specifica del dispositivo. Insieme, questi due approcci possono offrire strumenti eccellenti per migliorare la sicurezza a tutti i livelli.
Metodi di rilevamento
Ci sono due strategie di rilevamento utilizzate principalmente dagli IDS. Entrambe hanno i loro vantaggi e svantaggi, e la loro utilità dipende in gran parte dal contesto.
- I sistemi basati sulle anomalie operano su una comprensione predeterminata dell’attività di rete “non sospetta”. Questo significa che durante l’installazione del software, gli amministratori definiscono le regole per l’attività “normale”, permettendo così al sistema di “imparare” cosa sia normale. Una volta che un sistema basato sulle anomalie ha definito ciò che sarebbe considerato “normale” il traffico degli utenti, può confrontare i comportamenti e rilevare quando diventano anomali.
- I sistemi basati sulle firme si basano su un database preimpostato di minacce note e i comportamenti ad esse associati. Un IDS basato sulla firma scansiona ogni pezzo di traffico in entrata e lo confronta con la sua “lista nera”. Quella lista potrebbe contenere qualsiasi cosa, da pacchetti di dati sospetti associati a un attacco DDOS a linee di oggetto delle e-mail precedentemente collegate a malware.
Entrambi i sistemi hanno i loro pro e contro. Il rilevamento basato sulle anomalie è molto più probabile che scambi un comportamento non dannoso per una minaccia, perché tutto ciò che si discosta dalla sua comprensione del “normale” farà scattare l’allarme. Non è un grosso problema se si utilizza un IDS, naturalmente, dal momento che si limiterebbe a notificare un essere umano piuttosto che bloccare il traffico del tutto, come farebbe un IPS.
I sistemi basati sulle firme mancano della fluidità e delle capacità di apprendimento automatico di cui beneficia un IDS basato sulle anomalie. Qualsiasi database di minacce è finito, e nuovi modelli di attacco emergono continuamente. Se la lista non viene aggiornata, il sistema non sarà in grado di rilevare la minaccia.
Quindi, quando si sceglie il miglior metodo di rilevamento per il proprio IDS, le aziende che gestiscono siti web ad alto traffico dovrebbero propendere per l’opzione basata sulle anomalie.
Come funzionano i sistemi di prevenzione delle intrusioni?
Il modo più semplice per capire un IPS è quello di vederlo come un IDS con una caratteristica aggiuntiva (e potenzialmente rivoluzionaria): la prevenzione attiva.
Quando si tratta di somiglianze, la maggior parte degli IPS possono essere classificati come gli IDS in network-wide e host-specific. Inoltre, un IPS rileva le minacce più o meno nello stesso modo di un IDS, utilizzando una lista nera di firme o un metodo basato sulle anomalie.
La principale distinzione tra i due sistemi diventa chiara una volta che un IPS ha rilevato una potenziale minaccia. Invece di notificare un amministratore umano, avvia immediatamente un processo preventivo, bloccando e limitando le azioni di chiunque stia inviando il traffico sospetto.
A seconda del software, un IPS può rifiutare il pacchetto di dati sospetto o coinvolgere il firewall della rete. In casi drastici, può tagliare del tutto la connessione, rendendo il sito web o l’applicazione inaccessibile a chi considera una minaccia.
Differenze tra IDS e IPS
A prima vista, gli IPS possono sembrare molto più efficaci degli IDS. Perché vorresti solo rilevare le minacce informatiche in arrivo quando potresti prevenirle automaticamente?
Un problema con gli IPS è quello dei falsi positivi. Questo non accade spesso, ma quando accade il sistema non risponderà con la stessa sfumatura di un amministratore umano. Una volta rilevata, la minaccia percepita sarà bloccata immediatamente, anche se c’è stato un errore. Questo può comportare che le funzioni del sito web vengano disabilitate o rimosse per gli utenti non malintenzionati senza alcuna supervisione umana.
Un IDS non bloccherà un attacco o un pacchetto sospetto, ma lo riconoscerà e avviserà gli amministratori del sito web. Mentre questo sistema potrebbe non essere il più veloce, permette agli amministratori umani di prendere la decisione finale su come prevenire una minaccia. Questa potrebbe essere una strategia migliore che affidarsi a un sistema automatizzato fallibile come unico arbitro del traffico del sito web.
Ad essere onesti, il software IPS sta migliorando e il numero di falsi positivi sta diminuendo. Quindi, il sistema potrebbe essere una buona soluzione per i siti web che si basano su un alto volume di traffico indisturbato.
Il contesto è tutto
Per quanto sia allettante trarre conclusioni assolute, il contesto è il fattore decisivo quando si tratta di scegliere una soluzione piuttosto che l’altra.
Ogni azienda e utente avrà le proprie esigenze di sicurezza e affronterà minacce e sfide diverse. Un IPS potrebbe essere adatto alla rete interna di un’azienda, ma un grande sito web con più server potrebbe trovare l’IDS un’opzione migliore.
Valutiamo i meriti di ogni sistema e vediamo come potrebbero giocare un ruolo nel soddisfare le vostre esigenze di sicurezza. Una soluzione su misura è sempre la più efficace.
Per ulteriori approfondimenti sulla sicurezza informatica, iscriviti alla nostra newsletter mensile del blog qui sotto!