Classificazione dei sistemi di rilevamento delle intrusioni
I sistemi di rilevamento delle intrusioni sono progettati per essere implementati in ambienti diversi. E come molte soluzioni di cybersecurity, un IDS può essere basato su host o su rete.
- IDS basato su host (HIDS): un IDS basato su host viene distribuito su un particolare endpoint e progettato per proteggerlo dalle minacce interne ed esterne. Un IDS di questo tipo può avere la capacità di monitorare il traffico di rete da e verso la macchina, osservare i processi in esecuzione e ispezionare i registri del sistema. La visibilità di un IDS basato sull'host è limitata alla sua macchina host, riducendo il contesto disponibile per il processo decisionale, ma ha una visibilità profonda sugli interni del computer host.
- IDS basato sulla rete (NIDS): una soluzione IDS basata sulla rete è progettata per monitorare un'intera rete protetta. Ha visibilità su tutto il traffico che scorre attraverso la rete ed effettua determinazioni in base ai metadati e ai contenuti dei pacchetti. Questo punto di vista più ampio fornisce un contesto più ampio e la capacità di rilevare minacce diffuse; tuttavia, questi sistemi non hanno visibilità sugli interni degli endpoint che proteggono.
A causa dei diversi livelli di visibilità, l'implementazione di un HIDS o di un NIDS in modo isolato fornisce una protezione incompleta al sistema di un'organizzazione. Una soluzione di gestione unificata delle minacce, che integra più tecnologie in un unico sistema, può fornire una sicurezza più completa.
Metodo di rilevamento di IDS deployment
Al di là della loro posizione deployment, le soluzioni IDS si differenziano anche per il modo in cui identificano le potenziali intrusioni:
- Rilevamento della firma: Le soluzioni IDS basate sulla firma utilizzano le impronte digitali delle minacce conosciute per identificarle. Una volta identificato il malware o altri contenuti dannosi, viene generata una firma e aggiunta all'elenco utilizzato dalla soluzione IDS per testare i contenuti in arrivo. Ciò consente a un IDS di raggiungere un alto tasso di rilevamento delle minacce senza falsi positivi, perché tutti gli avvisi sono generati in base al rilevamento di contenuti nocivi noti. Tuttavia, un IDS basato sulle firme si limita a rilevare le minacce conosciute ed è cieco alle vulnerabilità zero-day.
- Rilevamento di anomalie: Le soluzioni IDS basate sulle anomalie costruiscono un modello del comportamento "normale" del sistema protetto. Tutti i comportamenti futuri vengono confrontati con questo modello e le anomalie vengono etichettate come potenziali minacce e generano avvisi. Sebbene questo approccio possa rilevare minacce nuove o zero-day, la difficoltà di costruire un modello accurato di comportamento "normale" significa che questi sistemi devono bilanciare i falsi positivi (avvisi errati) con i falsi negativi (mancati rilevamenti).
- Rilevamento ibrido: Un IDS ibrido utilizza sia il rilevamento basato sulle firme che quello basato sulle anomalie. Ciò consente di rilevare un maggior numero di potenziali attacchi con un tasso di errore inferiore rispetto all'utilizzo di uno dei due sistemi in modo isolato.
IDS vs firewall
I sistemi di rilevamento delle intrusioni e i firewall sono entrambi soluzioni di cybersecurity che possono essere implementate per proteggere un endpoint o una rete. Tuttavia, differiscono in modo significativo nelle loro finalità.
Un IDS è un dispositivo di monitoraggio passivo che rileva le minacce potenziali e genera avvisi, consentendo agli analisti del centro operativo di sicurezza(SOC) o a chi risponde agli incidenti di indagare e rispondere al potenziale incidente. Un IDS non fornisce alcuna protezione effettiva all'endpoint o alla rete. Un firewall, invece, è progettato per agire come sistema di protezione. Esegue l'analisi dei metadati dei pacchetti di rete e consente o blocca il traffico in base a regole predefinite. In questo modo si crea un confine oltre il quale alcuni tipi di traffico o protocolli non possono passare.
Poiché il firewall è un dispositivo di protezione attivo, è più simile a un Intrusion Prevention System (IPS) che a un IDS. Un IPS è come un IDS, ma blocca attivamente le minacce identificate, invece di limitarsi a lanciare un allarme. Questo integra la funzionalità di un firewall, e molti Next Generation Firewall (NGFW) dispongono di funzionalità IDS/IPS integrate. Ciò consente loro di applicare le regole di filtraggio predefinite (firewall) e di rilevare e rispondere alle minacce informatiche più sofisticate (IDS/IPS). Per saperne di più sul dibattito IPS vs IDS, clicchi qui.
Selezione di una soluzione IDS
Un IDS è un componente prezioso della cybersecurity di qualsiasi organizzazione deployment. Un semplice firewall costituisce la base per la sicurezza della rete, ma molte minacce avanzate possono sfuggirgli. Un IDS aggiunge un'ulteriore linea di difesa, rendendo più difficile per un aggressore accedere alla rete di un'organizzazione senza essere individuato.
Quando si seleziona una soluzione IDS, è importante considerare attentamente lo scenario deployment. In alcuni casi, un IDS può essere la scelta migliore per il lavoro, mentre, in altri, la protezione integrata di un IPS può essere un'opzione migliore. L'utilizzo di un NGFW con funzionalità IDS/IPS integrata offre una soluzione integrata, semplificando il rilevamento delle minacce e la gestione della sicurezza.
Check Point vanta molti anni di esperienza nello sviluppo di sistemi IDS e IPS che offrono un alto livello di rilevamento delle minacce con tassi di errore molto bassi, consentendo agli analisti SOC e agli incident responders di identificare facilmente le vere minacce. Per vedere i nostri NGFW, con funzionalità IDS/IPS integrate, in azione, richieda una dimostrazione o semplicemente ci contatti per qualsiasi domanda. Inoltre, in questo webinar potrà apprendere come prevenire gli attacchi alla rete IoT e ai dispositivi.
Feedback