IDS (Intrusion Detection System), di cosa si tratta?

IDS è acronimo di Intrusion Detection System, ovvero un sistema che ha lo scopo di rilevare attività sospette o dannose all’interno di una rete o di un ambiente IT.

Complessivamente, un IDS è uno strumento fondamentale per migliorare la security posture aziendale, consentendo di individuare tempestivamente eventi anomali e adottare le misure appropriate per proteggere i sistemi e le reti dai potenziali attacchi informatici.

Cos’è l’IDS
Come funziona l’Intrusion Detection System?
Tecniche di rilevamento delle intrusioni
Tipologie di IDS
IDS versus IPS

Cos’è l’IDS

L’Intrusion Detection System è un sistema di sicurezza informatica basato su controllo e monitoraggio continuo dell’infrastruttura da proteggere.
Quindi l’IDS, più che uno scudo vero e proprio, è una sentinella, in grado di lanciare l’allarme affinché si intervenga manualmente per bloccare l’intrusione.
Questo perché presidia punti strategici del sistema, attraverso i quali poter garantire:

monitoraggio costante
immediata rilevazione, o detention, dei un potenziale attacco informatico

In sostanza, l’IDS analizza il traffico di rete, i log di sistema o altre fonti di dati per identificare:

pattern
comportamenti anomali
firme di attacchi noti

Quando viene rilevata un’attività sospetta, l’IDS può generare avvisi o segnalazioni per notificare le anomalie agli amministratori di sistema o altri responsabili della sicurezza.

Le soluzioni di rilevazione delle intrusioni costituiscono un enorme vantaggio per le aziende, in quanto aiutano l’organizzazione a raggiungere anche la conformità normativa.

Senza dubbio, questa tecnologia consente di avere piena visibilità su infrastrutture tecnologiche e reti, semplificando la redazione di audit e l’adeguamento alle normative di sicurezza.

Come funziona l’Intrusion Detection System?

Qualsiasi sistema di rilevamento delle intrusioni può essere composto tanto da una componente software, quanto da un dispositivo hardware (o da una combinazione di queste soluzioni).
Solitamente gli IDS vengono posizionati dopo i firewall perimetrali, i quali si occupano propriamente della “schermatura” dei pacchetti di dati tramite il controllo del traffico in entrata in uscita.

Il loro posizionamento avviene in punti critici, cioè punti che rischiano di essere sfruttati per condurre attacchi mirati:

router
gateway
servizi esterni come server web
servizi interni come server e database

Normalmente, gli IDS funzionano in questo modo:

sono composti da sonde (o sensori) debitamente posizionati in specifici punti della rete
i sensori captano le informazioni, le raccolgono e le inviano ad un server per l’elaborazione
il server centrale, sfruttando uno specifico database, si occupa dell’individuazione delle anomalie
a questo punto, il sistema notifica eventuali elementi sospetti agli amministratori di rete, i quali provvederanno ad attuare tutte le misure necessarie ad arginare la minaccia

Tecniche di rilevamento delle intrusioni

L’intrusion detection è basato sulle tecniche di analisi comportamentale, formulate per la prima volta da J.P. Anderson.

Queste cercano di descrivere e classificare il comportamento normale o anomalo di un utente.

Le tecniche di analisi comportamentale si basano principalmente su due metriche di rilevazione, la misuse detection e la anomaly detection:

Misuse Detection, confronta i signature action, ovvero pattern o sequenze di byte specifiche associate a un tipo di attacco.
Anomaly Detection, il quale completa la misuse detection, perché riesce a rilevare anche i segni di attacchi esterni non ancora conosciuti (o non impostati nel misuse detection) riconoscendo le anomalie rispetto ad un profilo di utilizzo normale

La differenza principale tra i due sistemi di prevenzione è la generazione di falsi positivi, e quindi la rilevazione di intrusioni false.

L’anomaly detection incappa maggiormente in falsi positivi. Trattandosi, infatti, di una tecnica più flessibile è quindi è in grado di imparare e di integrare nuove informazioni al proprio sistema con algoritmi di intelligenza artificiale.

La misuse detection, dal canto suo, produce un numero molto basso di falsi positivi ma, allo stesso tempo, fa registrare un aumento di falsi negativi, e quindi di attacchi informatici non rilevati o riconosciuti.

Ecco spiegato perché, nell’impostare il proprio sistema di rilevamento delle intrusioni, non bisogna considerare i due approcci come esclusivi, quanto piuttosto complementari tra loro.

Tipologie di IDS

La classificazione degli IDS è basata sia sulle differenti tecniche di rilevamento che sul posizionamento dei sensori.

Ci sono prevalentemente tre tipologie di rilevamento IDS:

basato su firma (SIDS): questo approccio si basa sul confronto delle firme degli attacchi conosciuti con il traffico di rete o i file in arrivo. Quando l’IDS trova una corrispondenza tra una firma conosciuta e il traffico in analisi, segnala l’evento come un possibile attacco. Questo metodo è efficace nel rilevare attacchi noti, ma può essere inefficace nel rilevare attacchi nuovi o modificati che non corrispondono alle firme esistenti
basato su comportamento (BIDS): approccio basato sull’identificazione di comportamenti anomali rispetto a un modello di comportamento normale. L’IDS crea un profilo delle attività normali sulla rete o sul sistema e confronta i dati in ingresso con questo modello. Se viene rilevata una deviazione significativa rispetto al modello normale, l’IDS segnala un possibile attacco. Questo metodo può rilevare attacchi nuovi o sconosciuti, ma può anche generare falsi positivi se le deviazioni sono causate da attività legittime ma inconsuete
analisi dei protocolli di stato: che consiste nell’analisi dei protocolli di comunicazione e dei loro stati per identificare attività anomale. L’IDS monitora i flussi di comunicazione e controlla se gli stati e i comportamenti sono conformi alle definizioni di attività normali. Se vengono rilevate anomalie nei protocolli di stato, l’IDS segnala un possibile attacco. Questo metodo può rilevare attacchi che sfruttano vulnerabilità nei protocolli o che cercano di manipolare gli stati di comunicazione
IDS ibridi: questi IDS combinano più approcci, come la firma, l’analisi del comportamento e la rilevazione delle anomalie, per ottenere una copertura più ampia nel rilevamento degli attacchi. Possono utilizzare sia dati di rete che dati dell’host per analizzare l’intero ecosistema IT e fornire una visione più completa delle minacce.

Per quanto riguarda invece il posizionamento dei sensori per il riconoscimento di un attacco, i sistemi IDS si distinguono in:

IDS di rete (NIDS): monitorano il traffico di rete in cerca di attività sospette o anomale. Possono essere posizionati a livello di switch o router per analizzare tutto il traffico che passa attraverso di loro. L’NIDS può identificare attacchi come scanner di porte, attacchi DoS (Denial of Service), intrusioni nella rete e altro
IDS basati sull’host (HIDS): installati sui singoli host o dispositivi finali e monitorano le attività che si svolgono su quel particolare sistema. Possono rilevare attività come tentativi di accesso non autorizzato, modifiche ai file di sistema critici, processi sospetti in esecuzione e altro. Gli HIDS forniscono una visione dettagliata dell’attività all’interno di un host specifico, ma richiedono l’installazione di agenti software su ogni sistema da monitorare

IDS versus IPS

Come abbiamo visto, un IDS è un sistema deputato esclusivamente a rilevazione e segnalazione di potenziali attacchi informatici.

Tuttavia, essere costretti ad agire manualmente ogniqualvolta si verifica un’anomalia, non permette una mitigazione tempestiva delle minacce.

Per tale ragione, è opportuno integrare l’Intrusioni Detection System con una soluzione di Intrusion Prevention System (IPS) in grado di attivare interventi di risoluzione automatizzati.

Pertanto, le differenze tra questi due sistemi risiedono nella diversa funzione e nel ruolo che svolgono nella sicurezza delle reti.

Ne presentiamo di seguito un prospetto riassuntivo:

IDS (Intrusion Detection System):

Funzione: l’IDS ha il compito di monitorare il traffico di rete o le attività degli host al fine di identificare intrusioni o attività sospette.
Rilevazione: l’IDS rileva le intrusioni o le attività sospette analizzando il traffico di rete o gli eventi sugli host e confrontandoli con firme conosciute, modelli di comportamento o altri criteri predefiniti.
Segnalazione: una volta rilevata un’attività sospetta, l’IDS genera avvisi o segnalazioni per notificare agli amministratori di sistema o agli operatori di sicurezza l’evento rilevato. L’IDS non interviene direttamente per prevenire o bloccare l’attacco.

IPS (Intrusion Prevention System):

Funzione: l’IPS ha una funzione proattiva di prevenzione delle intrusioni, a differenza dell’IDS che si concentra sulla rilevazione.
Prevenzione: l’IPS monitora il traffico di rete o le attività degli host, allo stesso modo dell’IDS, ma interviene attivamente per prevenire o bloccare gli attacchi rilevati.
Risposta: quando l’IPS rileva un’attività sospetta o un attacco in corso, può intraprendere azioni come il blocco del traffico, l’interruzione della connessione o l’applicazione di politiche di sicurezza specifiche per prevenire l’attacco.
Modalità in-line: a differenza dell’IDS, che può operare in modalità passiva, l’IPS è spesso implementato in modalità in-line, il che significa che il traffico di rete passa attraverso l’IPS, che esegue una verifica in tempo reale e può bloccare il traffico dannoso direttamente.

In breve, l’IDS rileva le intrusioni o le attività sospette e fornisce avvisi, mentre l’IPS va oltre e interviene attivamente per prevenire o bloccare gli attacchi rilevati.

Conclusioni

In conclusione, gli IDS (Intrusion Detection System) sono strumenti essenziali per la sicurezza delle reti e dei sistemi informatici. Svolgono un ruolo fondamentale nel rilevare le intrusioni, le attività sospette e gli attacchi informatici.

L’implementazione di un IDS consente agli amministratori di sistema e agli operatori di sicurezza di:

rilevare in modo tempestivo gli attacchi
analizzare gli eventi di sicurezza
intraprendere le azioni necessarie per mitigare gli effetti delle intrusioni

Tuttavia, è importante sottolineare che gli IDS da soli non forniscono una soluzione completa per la sicurezza. Devono essere integrati con altre misure di sicurezza, come i firewall, gli IPS e le politiche di sicurezza, per costruire una difesa efficace contro le minacce informatiche.

Autore articolo
Gli ultimi articoli

Filomena Cignarale

Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.