Un sistema di rilevamento delle intrusioni, o IDS, monitora il traffico che si sposta sulle reti e attraverso i sistemi per cercare attività sospette e minacce note, inviando avvisi quando trova tali elementi. I dipartimenti IT aziendali distribuiscono sistemi di rilevamento delle intrusioni per ottenere visibilità sulle attività potenzialmente dannose che si verificano nei loro ambienti tecnologici.

“Lo scopo generale di un IDS è informare il personale IT che potrebbe esserci un’intrusione nella rete. Gli avvisi includono generalmente informazioni sull’indirizzo di origine dell’intrusione, l’indirizzo di destinazione/vittima e il tipo di attacco sospetto” ha dichiarato Brian Rexroad, vice presidente delle piattaforme di sicurezza per AT&T.

Ogni IDS è programmato per analizzare il traffico e identificare i modelli che in quel traffico potrebbero indicare un attacco cyber di vario genere. “Un IDS può identificare il traffico che potrebbe essere considerato universalmente malevolo o degno di nota come un attacco di phishing che scarica software malevolo” ha spiegato Judy Novak, istruttrice senior dell’istituto di formazione sulla sicurezza informatica SANS e autrice di SANS SEC503: Injection Detection Intrusion. Inoltre, un IDS può rilevare il traffico problematico per un software specifico e, quindi, potrebbe avvisare l’IT se rileva un attacco noto contro il browser Firefox in uso in un’azienda (ma non dovrebbe avvisare se l’azienda utilizza un browser diverso).

Tipi di IDS

I sistemi di rilevamento delle intrusioni possono essere suddivisi in due grandi categorie: IDS basati su host e IDS basati su rete, a seconda di dove siano posizionati i sensori per il software di rilevamento delle intrusioni (un host/endpoint o una rete). Alcuni esperti segmentano ulteriormente il mercato, considerando anche IDS perimetrali, IDS basati su macchine virtuali, IDS basati su stack, IDS basati sulle firme e IDS basati su anomalie.

Qualunque sia il tipo, la tecnologia funziona in genere allo stesso modo, con il sistema progettato per rilevare le intrusioni nei punti in cui i sensori sono posizionati e per avvisare gli analisti della sicurezza della scoperta di un’eventuale minaccia.

Come funziona un IDS?

Il rilevamento delle intrusioni è una tecnologia passiva; rileva e riconosce un problema, ma non interrompe il flusso del traffico di rete. Come accennato, lo scopo è quello di trovare e allertare sul traffico degno di nota. Un avviso informa l’analista IDS che è stato notato un traffico degno di interesse, ma questo non è bloccato o fermato in alcun modo nel raggiungimento della sua destinazione. Una cosa ben diversa sia dai firewall che bloccano i malware, sia dai sistemi di prevenzione delle intrusioni (IPS), che, come suggerisce il nome stesso, bloccano anch’essi il traffico dannoso.

IDS nell’impresa moderna

Sebbene un IDS non fermi il malware, gli esperti di cybersecurity sono concordi sul fatto  che questo sistema abbia ancora un ruolo nell’impresa moderna. “La funzionalità di ciò che fa un IDS è ancora di fondamentale importanza perché al suo interno sta rilevando un attacco attivo” ha dichiarato Eric Hanselman, Chief Analyst di 451 Research.

Tuttavia, gli esperti di sicurezza informatica affermano che le aziende non acquistano e implementano IDS come soluzione autonoma come avveniva un tempo. Piuttosto, acquistano una suite di funzionalità di sicurezza o una piattaforma di sicurezza che ha al suo interno il rilevamento delle intrusioni come una delle molte funzionalità integrate.

Anche Rob Clyde, vice presidente del consiglio di amministrazione di ISACA, un’associazione per i professionisti della governance IT e presidente esecutivo del consiglio di amministrazione di White Cloud Security Inc., è convinto che il rilevamento delle intrusioni sia ancora un aspetto critico, ma le aziende devono capire che un sistema simile richiede manutenzione e devono considerare se e in che modo supporteranno un IDS nel caso decidano di implementarlo.

Considerato il lavoro svolto da un sistema di rilevamento delle intrusioni, Clyde afferma che le aziende di piccole dimensioni potrebbero sostenerne la gestione, ma solo come parte di una più ampia suite di funzioni in modo che non gestiscano l’IDS come una delle tante soluzioni autonome. Le PMI dovrebbero anche considerare di lavorare con un fornitore di servizi di sicurezza gestito per i loro requisiti di sicurezza generali, in quanto il fornitore, a causa della scalabilità, può rispondere in modo più efficiente agli avvisi utilizzando un mix di machine learning, intelligenza artificiale ed elemento umano per avvisare il personale IT di un incidente o di un’intrusione.

ids

 

Tre sfide da affrontare nella gestione di un IDS

Gli IDS hanno diverse problematiche gestionali riconosciute.

Falsi positivi

“Gli IDS sono noti per generare falsi positivi”, ha detto Rexroad, aggiungendo che gli avvisi vengono generalmente inviati a una piattaforma di analisi secondaria per contribuire a far fronte a questa problematica, che tra l’altro mette sotto pressione i team IT affinché aggiornino continuamente i propri IDS con le giuste informazioni per rilevare le minacce legittime e per distinguere quelle reali dal traffico consentito.

E non è un compito da poco. “I sistemi IDS devono essere ottimizzati dagli amministratori IT per analizzare il contesto corretto e ridurre i falsi positivi. Ad esempio, c’è poco vantaggio nell’analisi e nella fornitura di avvisi sull’attività internet per un server protetto da attacchi noti. Ciò genererebbe migliaia di allarmi irrilevanti a scapito dell’aumento di allarmi significativi. Allo stesso modo ci sono circostanze in cui attività perfettamente valide possono generare falsi allarmi semplicemente per una questione di probabilità”, ha sottolineato Rexroad, spiegando che le organizzazioni spesso optano per una piattaforma di analisi secondaria di tipo SIEM (Security Incident & Event Management).

Assunzione di personale

Data l’esigenza di comprendere il contesto, un’azienda deve essere pronta a fare in modo che qualsiasi IDS soddisfi specifiche esigenze. “Ciò significa che un IDS non può essere configurato in un unico modo per far fronte a tutte le esigenza e questo richiede un esperto analista di IDS che personalizzi l’IDS secondo certe esigenze. E purtroppo gli analisti esperti di IDS sono scarsi oggi giorno”, ha aggiunto la Novak.

Mancanza di un rischio legittimo

“Il trucco alla base dell’IDS è che bisogna sapere quale sarà l’attacco per poterlo identificare. L’IDS ha sempre avuto infatti il problema del paziente zero: bisogna aver trovato qualcuno che si è ammalato ed è morto prima che tu possa identificarlo”, ha detto Hanselman.

La tecnologia IDS può anche avere problemi nel rilevamento di malware con traffico crittografato, ma anche la velocità e la natura distribuita del traffico in ingresso possono limitare l’efficacia di un sistema di rilevamento delle intrusioni in un’azienda. “Potreste anche avere un IDS in grado di gestire 100 megabit di traffico, ma con 200 megabit in arrivo il vostro IDS controllerebbe solo uno di tre o quattro pacchetti”, ha continuato Hanselman.

Il futuro del rilevamento delle intrusioni

Hanselman ha affermato che queste limitazioni non invalidano il valore di un IDS come funzione. “Nessun strumento di sicurezza è perfetto. Diversi prodotti hanno diversi punti deboli e la sfida è saperli riconoscere. Continuo a pensare che l’IDS sarà ancora utilizzato per molto tempo a venire”. Tuttavia, gli esperti sostengono che alcune organizzazioni hanno ripensato alla necessità di avere un IDS, sebbene oggi l’implementazione di questa tecnologia rimanga una best practice in fatto di sicurezza.

“L’IDS richiede un notevole sforzo in base al numero di avvisi ricevuti. Un’azienda potrebbe non avere le risorse per gestire tutti i dispositivi. Altre organizzazioni possono condurre una valutazione delle minacce più completa e decidere di non implementare dispositivi IDS”, ha detto Rexroad, aggiungendo che proprio l’alto numero di falsi allarmi generato dagli IDS ha convinto alcune aziende a non implementarli per timore di bloccare transazioni commerciali legittime.

Allo stesso modo, Scott Simkin, direttore delle informazioni sulle minacce presso Palo Alto Networks, ha affermato di non credere che oggi l’IDS sia una soluzione che abbia un ruolo nella maggior parte delle imprese moderne, pur mantenendo un posto di rilievo all’interno di un più ampio portafoglio soluzioni di sicurezza.

“L’automazione e l’intelligenza artificiale incorporate nelle moderne piattaforme di sicurezza hanno spinto gli IDS sempre più in fondo a livello di importanza. Gli IDS come sistemi sono stati sostituiti da IPS e firewall di nuova generazione che riprendono il concetto di IDS e vi aggiungono qualcosa in più, ma oggi un loro ruolo slegato dall’analisi comportamentale, dai filtri web, dalla gestione dell’identità delle applicazioni e ad altri controlli non è più conveniente”.