Un sistema di prevenzione delle intrusioni (IPS) monitora il traffico di rete alla ricerca di potenziali minacce e agisce automaticamente per bloccarle avvisando il team di sicurezza, interrompendo le connessioni pericolose, eliminando i contenuti dannosi o attivando altri dispositivi di sicurezza.
Le soluzioni IPS si sono evolute a partire dai sistemi di rilevamento delle intrusioni (IDS), che rilevano e segnalano le minacce al team di sicurezza. Un IPS ha le stesse funzioni di rilevamento e segnalazione delle minacce di un IDS, oltre a capacità di prevenzione automatizzata delle minacce, motivo per cui gli IPS sono talvolta definiti "sistemi di rilevamento e prevenzione delle intrusioni" (IDPS).
Poiché un IPS è in grado di bloccare direttamente il traffico dannoso, può alleggerire i carichi di lavoro per i team di sicurezza e i centri operativi di sicurezza (SOC), consentendo loro di concentrarsi su minacce più complesse. Gli IPS possono aiutare ad applicare le politiche di sicurezza della rete bloccando azioni non autorizzate da parte di utenti legittimi e possono supportare l'impegno per la conformità. Ad esempio, un IPS soddisferebbe il requisito Payment Card Industry Data Security Standard (PCI-DSS) per le misure di rilevamento delle intrusioni.
Gli IPS utilizzano tre metodi principali di rilevamento delle minacce, esclusivamente o in combinazione, per analizzare il traffico.
I metodi di rilevamento basati sulle firme analizzano i pacchetti di rete per individuare le firme di intrusione, ovvero caratteristiche o comportamenti unici CONNESSI a una minaccia specifica. Una sequenza di codice visualizzata in una particolare variante malware è un esempio di una firma di attacco.
Un IPS basato su firma mantiene un database di firme di intrusioni con cui confronta i pacchetti di rete. Se un pacchetto attiva una corrispondenza con una delle firme, l'IPS interviene. I database delle firme devono essere aggiornati regolarmente con nuova threat intelligence man mano che emergono nuovi attacchi informatici e gli attacchi esistenti si evolvono. Tuttavia, gli attacchi nuovi che non sono ancora stati analizzati per le firme possono eludere un IPS basato su firme.
I metodi di rilevamento basati sull'anomalia utilizzano l'intelligenza artificiale e l'apprendimento automatico per creare e perfezionare in modo continuo un modello di riferimento per la normale attività della rete. L'IPS confronta l'attività di rete in corso con il modello e interviene quando rileva deviazioni, come un processo che utilizza una larghezza di banda superiore a quella consueta o un dispositivo che apre una porta che di solito è chiusa.
Poiché gli IPS basati su anomalia rispondono a qualsiasi comportamento anomalo, spesso possono bloccare nuovi attacchi informatici che potrebbero eludere il rilevamento basato sulle firme. Potrebbero anche rilevare exploit zero-day, ovvero attacchi che sfruttano le vulnerabilità del software prima che lo sviluppatore del software ne venga a conoscenza o abbia il tempo di correggerli .
Tuttavia, gli IPS basati su anomalie potrebbero essere più soggetti a falsi positivi. Anche l'attività benigna, ad esempio un utente autorizzato che accede a una risorsa di rete sensibile per la prima volta, può attivare un IPS basato su anomalie. Di conseguenza, gli utenti autorizzati potrebbero essere allontanati dalla rete o i loro indirizzi IP bloccati.
I metodi con rilevamento basato su politiche si basano sulle politiche di sicurezza stabilite dal team di sicurezza. Ogni volta che un IPS basato su politica rileva un'azione che viola una politica di sicurezza, blocca il tentativo.
Ad esempio, un SOC potrebbe impostare politiche di controllo degli accessi che determinano quali utenti e dispositivi possono accedere a un host. Se un utente non autorizzato tenta di connettersi all'host, un IPS basato su politica lo interromperà.
Sebbene gli IPS basati su politica offrano personalizzazione, possono richiedere un investimento iniziale significativo. Il team di sicurezza deve creare una serie completa di criteri che definiscano ciò che è consentito e ciò che non è consentito in tutta la rete.
Mentre la maggior parte degli IPS utilizza i metodi di rilevamento delle minacce descritti in precedenza, alcuni utilizzano tecniche meno comuni.
Il rilevamento basato sulla reputazione segnala e blocca il traffico proveniente da indirizzi IP e domini connessi a attività dannose o sospette. L'analisi del protocollo con stato si concentra sul comportamento del protocollo: ad esempio, potrebbe identificare un attacco distributed denial-of-service (DDoS) rilevando un singolo indirizzo IP che effettua molte richieste di connessione TCP simultanee in un breve periodo.
Quando un IPS rileva una minaccia, registra l'evento e lo segnala al SOC, spesso tramite uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) (consultare "IPS e altre soluzioni per la sicurezza" di seguito).
Ma l'IPS non si ferma qui. Interviene automaticamente contro la minaccia, utilizzando tecniche come:
Un IPS può terminare la sessione di un utente, bloccare uno specifico indirizzo IP o persino bloccare tutto il traffico verso una destinazione. Alcuni IPS possono reindirizzare il traffico verso un honeypot, una risorsa esca che fa credere agli hacker di aver avuto successo quando, in realtà, il SOC li sta osservando.
Un IPS può consentire al traffico di continuare, ma ripulisce le parti pericolose, ad esempio eliminando pacchetti dannosi da un flusso o rimuovendo un allegato dannoso da un'e-mail.
Un IPS può richiedere ad altri dispositivi di sicurezza di agire, ad esempio aggiornando le regole del firewall per bloccare una minaccia o modificando le impostazioni del router per impedire agli hacker di raggiungere i propri obiettivi.
Alcuni IPS possono impedire agli autori degli attacchi e agli utenti non autorizzati di agire in modo da violare le politiche di sicurezza aziendali. Ad esempio, se un utente tenta di trasferire informazioni sensibili da un database sul quale dovrebbero rimanere, l'IPS lo bloccherebbe.
Le soluzioni IPS possono essere applicazioni software installate su endpoint, dispositivi hardware dedicati connessi alla rete o erogati come servizi cloud. Poiché gli IPS devono essere in grado di bloccare le attività maligne in tempo reale, sono sempre posizionati "inline" sulla rete, il che significa che il traffico passa direttamente attraverso l'IPS prima di raggiungere la destinazione.
Gli IPS sono classificati in base alla posizione in cui si trovano in una rete e al tipo di attività che monitorano. Molte organizzazioni utilizzano più tipi di IPS nelle proprie reti.
Un sistema di prevenzione delle intrusioni basato su rete (NIPS) monitora il traffico in entrata e in uscita verso i dispositivi della rete, ispezionando singoli pacchetti alla ricerca di attività sospette. I NIPS sono posizionati in punti strategici della rete. Spesso si trovano immediatamente dietro i firewall sul perimetro della rete in modo da poter bloccare il traffico dannoso che riesce a penetrare. Il NIPS può anche essere posizionato all'interno della rete per monitorare il traffico da e verso risorse chiave, come data center o dispositivi critici.
Un sistema di prevenzione delle intrusioni basato su host (HIPS) viene installato su uno specifico endpoint, come un computer portatile o un server, e monitora solo il traffico verso e da quel dispositivo. Gli HIPS vengono solitamente utilizzati insieme ai NIPS per aggiungere ulteriore sicurezza alle risorse vitali. L'HIPS può anche bloccare le attività maligne da un nodo di rete compromesso, come il ransomware che si diffonde da un dispositivo infetto.
Le soluzioni di analisi del comportamento di rete (NBA) monitorano i flussi di traffico di rete. Mentre i NBA possono ispezionare pacchetti come altri IP, molti NBA si concentrano sui dettagli più elevati delle sessioni di comunicazione, come gli indirizzi IP di origine e destinazione, le porte utilizzate e il numero di pacchetti trasmessi.
Le NBA utilizzano metodi di rilevamento basati su anomalia, segnalando e bloccando flussi che si discostano dalla norma, come il traffico di attacco DDoS (Distributed Denial-of-Service) o un dispositivo infettato da malware che comunica con un server di comando e controllo sconosciuto.
Un sistema di prevenzione delle intrusioni (WIPS) wireless monitora i protocolli di rete wireless alla ricerca di attività sospette, come utenti e dispositivi non autorizzati che accedono al Wi-Fi dell'azienda. Se un WIPS rileva un'entità sconosciuta su una rete wireless, può interrompere la connessione. Un WIPS può anche aiutare a rilevare dispositivi mal configurati o non protetti su una rete wifi e a intercettare gli attacchi man-in-the-middle, in cui un hacker spia segretamente le comunicazioni degli utenti.
Sebbene gli IPS siano disponibili come strumenti autonomi, sono progettati per essere strettamente integrati con altre soluzioni di protezione nell'ambito di un sistema olistico di cybersecurity.
Gli avvisi IPS vengono spesso incanalati nel SIEM di un'organizzazione, dove possono essere combinati con avvisi e informazioni provenienti da altri strumenti di sicurezza in un'unica dashboard centralizzato. L'integrazione degli IPS con i SIEM consente ai team di sicurezza di arricchire gli avvisi IPS con ulteriore threat intelligence, filtrare i falsi allarmi e seguire l'attività IPS per garantire che le minacce siano state bloccate. I SIEM possono anche aiutare i SOC a coordinare i dati provenienti da diversi tipi di IPS, poiché molte organizzazioni ne utilizzano più di un tipo.
Come accennato in precedenza, gli IP si sono evoluti dagli IDS e hanno molte delle stesse funzioni. Mentre alcune organizzazioni possono utilizzare soluzioni IPS e IDS distinte, la maggior parte dei team di sicurezza implementa un'unica soluzione integrata che offre rilevamento, log, reportistica e prevenzione automatica delle minacce affidabili. Molti IPS consentono ai team di sicurezza di disattivare le funzioni di prevenzione, permettendo loro di agire come IDS puri se l'organizzazione lo desidera.
Gli IPS fungono da seconda linea di difesa dietro i firewall. I firewall bloccano il traffico dannoso sul perimetro e gli IPS intercettano tutto ciò che riesce a violare il firewall e a penetrare nella rete. Alcuni firewall, in particolare i firewall di nuova generazione, dispongono di funzioni IPS integrate.
Rileva le minacce nascoste in agguato nella tua rete, prima che sia troppo tardi. IBM Security QRadar Network Detection and Response (NDR) aiuta i team di sicurezza ad analizzare le attività di rete in tempo reale. Combina una vasta e approfondita visibilità con analytics e dati di elevato valore per favorire risposte e insight attivabili.
Ottieni la protezione della sicurezza di cui la tua organizzazione ha bisogno per migliorare la preparazione alle violazioni con una sottoscrizione al servizio di protezione per la risposta all'incidente di IBM Security. Quando ti rivolgi al nostro team d'élite di consulenti IR, hai a disposizione partner fidati che ti aiutano a ridurre i tempi di risposta a un incidente, a minimizzarne l'impatto e a recuperare più rapidamente prima che si sospetti un incidente di cybersecurity.
Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente al ransomware e a minimizzare l'impatto degli attacchi ransomware.
Con la crescita delle reti aziendali, aumenta anche il rischio di attacchi informatici. Scopri come le soluzioni di sicurezza di rete proteggono i sistemi informatici dalle minacce alla sicurezza interne ed esterne.
SIEM monitora e analizza gli eventi relativi alla sicurezza in tempo reale e registra e tiene traccia dei dati di sicurezza per scopi di conformità o controllo.
NDR utilizza l'intelligenza artificiale, l'apprendimento automatico e l'analisi comportamentale per rilevare e rispondere ad attività della rete sospette.