Intrusion Detection System: l'importanza del monitoraggio continuo
La protezione del perimetro della rete aziendale dalle intrusioni è uno degli elementi cruciali nel processo di protezione e sicurezza informatica di una organizzazione. Utilizzare un Intrusion Detection System (IDS) permette di allertare l’organizzazione sul tentativo di effrazione digitale, individuando preventivamente gli elementi che possono costituire un pericolo.
Gli attaccanti possono insinuarsi nella rete di un’organizzazione in modo silente per poi sferrare l’attacco in modo esplicito in un secondo momento. L’induzione di sovraccarichi della rete, la presenza di vulnerabilità della stessa e l’inoculazione di codice malevolo rappresentano le minacce che un Intrusion Detection System può individuare, ma è importante precisare che un IDS rimane uno strumento passivo progettato per identificare un attacco, ma non impedirgli di compromettere il sistema.
Questo sistema può però essere utile nel fornire informazioni a sistemi di detection & response più avanzati, come una piattaforma Cross Layered, di cui parleremo nel capitolo finale.
Se la rete è violata da un attaccante malintenzionato, si possono verificare perdite per quell’organizzazione, con danni progressivamente gravi: dalla temporanea inattività, violazioni dei dati e fino alla perdita irrimediabile della fiducia dei clienti. Danni che un IDS da solo non è in grado di contrastare, anche a causa della limitata visibilità al solo contesto del network.
Procediamo con ordine e vediamo innanzi tutto che cos'è un sistema IDS.
IDS cos'è: definizione formale
Il rilevamento delle intrusioni è un approccio per migliorare la sicurezza dei sistemi. L'obiettivo di un Intrusion Detection System è rilevare attacchi con un basso tasso di falsi positivi e un basso tasso di falsi negativi (fonte Researchgate). Laddove i tassi di entrambe i tipi fossero invece elevati, un Intrusion Detection System potrebbe sollevare allarmi ingiustificati.
Materialmente un Intrusion Detection System è un dispositivo software e/o hardware a seconda se sia formato da una sola componente o da entrambe. Può essere realizzato come sistema stand-alone, preinstallato e pre-configurato. Gli attacchi che è in grado di identificare sono accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da criminali informatici esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici (fonte Unibo). La rete dove viene installato un Intrusion Detection System viene monitorata continuamente, fino al momento in cui il sistema si accorge degli indizi di una effrazione digitale iniziale o conclamata e notifica l’accaduto.
Tipi di monitoraggio continuo
Se un firewall e i sistemi di identificazione, autenticazione e autorizzazione sono posti sulla frontiera della rete, come una porta di casa blindata che impedisce l’accesso ai non autorizzati, si può pensare ad un Intrusion Detection System come a un sistema di allarme della casa stessa. Quindi, un IDS deve poter effettuare un monitoraggio continuo e in tempo reale di tutta la potenziale superficie di attacco costituita dalla rete aziendale, da ogni sistema che poggia sulla rete stessa e da ogni device, anche mobile, che temporaneamente o stabilmente si collega alla rete aziendale. Per questo motivo esistono diversi tipi di Intrusion Detection System:
- Sistema di rilevamento intrusioni di rete (Network Intrusion Detection System - NIDS).
- Sistema di rilevamento delle intrusioni del nodo di rete (Network Node Intrusion Detection System- NNIDS).
- Sistema di rilevamento intrusioni host (Host Intrusion Detection System - HIDS).
NIDS e NNIDS esaminano il traffico di rete, mentre gli HIDS esaminano azioni e file sui dispositivi host. Nei primi due casi, il monitoraggio continuo richiede la verifica di una grande quantità di traffico, al contrario dell’HIDS in cui si analizza meno traffico, ma più in profondità. Un NIDS è implementato in modo distribuito ovvero posizionato in punti strategici in tutta la rete o di sottoreti aziendali, per coprire quelle porzioni di rete in cui è più probabile che il traffico sia vulnerabile agli attacchi; invece nel caso di analisi di un nodo di rete il Network Node Intrusion Detection system è applicato solo a un nodo alla volta. Nel terzo caso, l’HIDS monitora continuamente dispositivi della rete con accesso a Internet e, comparato con il NIDS, presenta alcuni vantaggi: guardando più da vicino il traffico interno, è in grado di rilevare indizi più raffinati e funziona quindi, come una seconda linea di difesa contro i pacchetti di rete dannosi.
Tipi di Intrusion Detection System
La rilevazione delle intrusioni può seguire due approcci principali: Intrusion Detection System basato su firma e basato su anomalie.
Nella prima tipologia il tool effettua monitoraggi e compara le evidenze raccolte con la serie di “firme” (modelli noti di minaccia, N.d.R.) per saper riconoscere le condizioni malevole da notificare. Un IDS di questo tipo necessita di aggiornamenti regolari su firme o identità, per garantire che la sua conoscenza delle risorse malevole sia aggiornata. Tali aggiornamenti dovrebbero avvenire continuamente per consentire una sempre adeguata performance nel riconoscimento delle minacce. È un dato di fatto, che gli IDS basati su firma siano efficienti ed efficaci solo in relazione a quanto è aggiornato il database in un determinato momento. Gli attaccanti lo sanno e per non farsi scoprire cambiano piccoli elementi nel malware (creando le cosiddette varianti - N.d.R.) in modo che la “firma” non sia riconosciuta. Infine, la dimensione del DB progressivamente crescente, implica un carico sempre maggiore per l’elaborazione, a causa dell’analisi di ogni connessione e del tempo di verifica rispetto al database.
Il secondo tipo di Intrusion Detection System, basato su anomalia, presuppone un andamento della rete sempre prevedibile o con piccoli scostamenti noti, tale che dopo un primo periodo di apprendimento, il sistema IDS sappia distinguere il traffico “buono” da quello “malevolo”. Certo, se durante la fase di apprendimento la rete è già compromessa, le capacità di riconoscere una anomalia sono vanificate in partenza. Per questo motivo all’avvio dell’Intrusion Detection System si supporta il periodo di apprendimento con analisti che manualmente esaminano la condizione della rete contribuendo a chiarire e comprendere gli elementi dubbi.
Un maggiore strato di protezione con la logica di Managed Detection and Response
Come abbiamo detto all'inizio di questo articolo, lo strumento IDS può lavorare in sinergia con piattaforme più avanzate, infatti esso rileva attività sospette o un eventi di sicurezza anomali, dopodiché i log dell'evento possono essere recepiti e compresi da una piattaforma Cross Layered e gestiti in una logica di Managed Detection and Response (MDR).
A questo punto avvengono due cose:
- Lo strumento, attraverso algoritmi di Intelligenza artificiale, è in grado di effettuare una prima scrematura della moltitudine di informazioni che l'Intrusion Detection System genera, per categorizzare ed escludere i cosiddetti allarmi "falsi positivi".
- I professionisti della sicurezza delle informazioni analizzano i dati notificati dal sistema di analisi Cross Layered per determinare se si tratti di una minaccia per la realtà del cliente.
La conclusione che si evince è che soltanto una soluzione MDR, caratterizzata da un ulteriore strato di protezione Cross Layered e un team di Specialisti può consentire all'azienda di intraprendere azioni preventive contro gli attacchi informatici, mentre un IDS rileva e segnala solo eventi.