Intrusion Detection System: cosa sono e come operano

Proteggersi dagli attacchi informatici è importante, ma è altrettanto importante saperli riconoscere e rilevare. L’affermazione può apparire ovvia, ma tocca invece uno degli aspetti più trascurati della cyber security: la capacità di rilevazione (detection) dell’attacco. Non è infatti così scontato riuscire a individuare un’intrusione informatica. Per questo scopo si usano i sistemi IDS (Intrusion Detection System)

Infatti, se molti tipi di cyber attacchi hanno la necessità di manifestarsi, come accade per i ransomware, altri mirano a rendersi invisibili per poter persistere il più a lungo possibile all’interno dei sistemi violati. È il caso degli APT (Advanced Persistent Threat), dove il termine “persistent” sta proprio ad indicare che l’attacco è continuo nel tempo, con lo scopo di rimanere nel sistema per un periodo più lungo possibile. Gli APT sono attacchi di alto livello, portati con tecniche di hacking avanzate e con più vettori di attacco. Gli obbiettivi a cui mirano sono ovviamente importanti, trattandosi spesso di infrastrutture critiche alle quali l’attaccante cerca di rubare quanti più dati possibili. Il particolare livello di sofisticazione che caratterizza gli attacchi APT li rende difficili da rilevare: possono passare diversi mesi tra il momento dell’attacco iniziale e la sua identificazione e neutralizzazione. Secondo statistiche, il tempo medio di scoperta (la cosiddetta “finestra di compromissione”) è addirittura di circa 220 giorni.

Gli IDS (Intrusion Detection System) possono essere realizzati con appliance hardware oppure con appositi software; a volte, sono la combinazione di entrambi i sistemi.Non sostituiscono i firewall, ma con essi si integrano per offrire una protezione più completa. Infatti, lo scopo del firewall è quello di intercettare selettivamente (e “meccanicamente”) i pacchetti di dati (secondo un insieme di regole predefinite che i pacchetti devono rispettare per entrare o per uscire dalla rete locale). I tradizionali firewall funzionano sugli strati più bassi della comunicazione di rete, quindi con regole di filtraggio limitate agli indirizzi IP, alle porte, all’ora del giorno ed a pochi altri criteri.

Gli IDS vengono posizionati “a valle” del firewall ed analizzano i pacchetti di dati ed i comportamenti da loro generati. Per questo, se un attacco è stato originato all’interno della rete locale, il firewall non potrà bloccarlo, mentre l’IDS può rilevarlo, individuando situazioni di anomalia.

Possiamo pensare a un IDS come ad un allarme preventivo che avvisa quando transita – o si verifica – qualcosa che potrebbe richiedere la nostra attenzione. Ovviamente questa modalità di analisi è soggetta al rischio di un elevato numero di “falsi positivi”. Per contro, le attuali tecniche di analisi comportamentale (di cui parleremo successivamente) utilizzano algoritmi di machine learning che raccolgono dati e grazie a questi riescono ad affinare i modelli comportamentali che utilizzano come regole.

Gli IDS sono tipicamente composti da sonde (sensori) posizionate in punti definiti della rete, che raccolgono le informazioni e le comunicano ad un server (motore). Quest’ultimo, di solito, si appoggia ad un database nel quale si trovano le informazioni e le regole per individuare le “anomalie”. Il database è spesso in cloud presso il fornitore del servizio IDS: in questo modo risulta continuamente aggiornato rispetto alle nuove minacce.

L’Intrusion Detection System comunica con l’amministratore di sistema attraverso una console che monitora lo stato della rete e dei computer e – nel caso in cui sia stato rilevato un attacco o sia stato registrato un comportamento sospetto del sistema – invia una notifica secondo le modalità stabilite. Per definizione l’IDS è un sistema di rilevazione, quindi è “passivo”, ovvero non esegue azioni correttive: sarà l’operatore a stabilire le opportune contromisure per bloccare l’attacco.

In altri casi, dopo aver individuato la presenza di un possibile attacco, questo tipo di sistema non si limita ad informare l’amministratore, ma attiva immediatamente delle azioni di protezione adeguate. In questo modo si evita che passi un intervallo di tempo troppo lungo tra il rilevamento di un’intrusione e l’azione di contrasto volta a bloccarla.

In questi casi, però, non si parla più di IDS, ma di IPS (Intrusion Prevention System).

I due sistemi (IDS e IPS) sono sostanzialmente simili, in quanto utilizzano gli stessi metodi di analisi. Un IPS così come un IDS si avvale degli stessi sensori, basati su host e su rete, allo scopo di registrare e classificare i dati del sistema e i pacchetti di rete.

Nel caso di un Intrusion Prevention System, questo deve essere configurato in modo molto accurato (e non standard), per impedire che azioni normali dell’utente vengano classificate come anomale e pericolose e quindi bloccate (i cosiddetti “falsi positivi”). L’insorgenza di frequenti falsi positivi può indurre ad abbassare i livelli di protezione dell’IPS, con gli evidenti rischi che ne conseguono.

L’intervento umano è quindi sempre necessario, anche per ridurre i “falsi positivi”. Così come dovrà essere sempre l’uomo a fissare le regole che stabiliscono cosa sia considerato come comportamento lecito. Queste regole, definite inizialmente, dovranno essere aggiornate sia dagli algoritmi di “apprendimento automatico” del sistema, sia dall’amministratore, in modo da tenere in considerazione i nuovi tipi di attacchi.

In questo link si trova il testo completo dell’articolo che ho scritto per CYBERSECURITY360, la testata del Network Digital 360 specializzata nella Cybersecurity, con la quale collaboro sin dalla sua nascita.

© Copyright 2019 Giorgio Sbaraglia
All rights reserved.


Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento