Cosè un IDS?

C'è un sacco di malware che circola su Internet. Per fortuna, ci sono molte misure di protezione disponibili. Alcuni di essi, come i prodotti antivirus, sono progettati per essere eseguiti in base al dispositivo e sono ideali per le persone con un numero limitato di dispositivi. Il software antivirus è utile anche nelle grandi reti aziendali. Uno dei problemi lì, tuttavia, è semplicemente il numero di dispositivi su cui è in esecuzione un software antivirus che segnala solo sulla macchina. Una rete aziendale vuole davvero avere segnalazioni di incidenti antivirus da centralizzare. Ciò che è un vantaggio per gli utenti domestici è un punto debole per le reti aziendali.

Andare oltre l'antivirus

Per andare oltre è necessario un approccio diverso. Questo approccio è denominato IDS o Intrusion Detection System. Esistono molte varianti diverse dell'IDS, molte delle quali possono completarsi a vicenda. Ad esempio, un IDS può essere incaricato di monitorare un dispositivo o il traffico di rete. Un dispositivo che monitora l'IDS è indicato come HIDS o sistema di rilevamento delle intrusioni basato su host. Un IDS di monitoraggio della rete è noto come NIDS o Network Intrusion Detection System. Un HIDS è simile a una suite antivirus, che monitora un dispositivo e riporta a un sistema centralizzato.

Un NIDS è generalmente collocato in un'area ad alto traffico della rete. Spesso questo avverrà su una rete principale/router backbone o al confine della rete e della sua connessione a Internet. Un NIDS può essere configurato per essere in linea o in una configurazione tap. Un NIDS in linea può filtrare attivamente il traffico in base ai rilevamenti come IPS (un aspetto su cui torneremo più avanti), tuttavia, agisce come un singolo punto di errore. Una configurazione tap rispecchia sostanzialmente tutto il traffico di rete al NIDS. Può quindi svolgere le sue funzioni di monitoraggio senza agire come un singolo punto di errore.

Metodi di monitoraggio

Un IDS utilizza in genere una gamma di metodi di rilevamento. L'approccio classico è esattamente quello utilizzato nei prodotti antivirus; rilevamento basato sulla firma. In questo, l'IDS confronta il software o il traffico di rete osservato con una vasta gamma di firme di malware noto e traffico di rete dannoso. Questo è un modo noto e generalmente abbastanza efficace per contrastare le minacce note. Il monitoraggio basato sulle firme, tuttavia, non è una pallottola d'argento. Il problema con le firme è che devi prima rilevare il malware per poi aggiungere la sua firma all'elenco di confronto. Ciò lo rende inutile nel rilevare nuovi attacchi e vulnerabile alle variazioni delle tecniche esistenti.

Il principale metodo alternativo utilizzato da un IDS per l'identificazione è il comportamento anomalo. Il rilevamento basato su anomalie prende una linea di base di utilizzo standard e quindi segnala attività insolite. Questo può essere uno strumento potente. Può persino evidenziare un rischio derivante da una potenziale minaccia interna non autorizzata. Il problema principale con questo è che deve essere sintonizzato sul comportamento di base di ciascun sistema, il che significa che deve essere addestrato. Ciò significa che se il sistema è già compromesso durante l'addestramento dell'IDS, non vedrà l'attività dannosa come insolita.

Un campo in via di sviluppo è l'uso di reti neurali artificiali per eseguire il processo di rilevamento basato sulle anomalie. Questo campo si mostra promettente ma è ancora abbastanza nuovo e probabilmente deve affrontare sfide simili alle versioni più classiche del rilevamento basato sulle anomalie.

Centralizzazione: una maledizione o una benedizione?

Una delle caratteristiche chiave di un IDS è la centralizzazione. Consente a un team di sicurezza della rete di raccogliere aggiornamenti in tempo reale sullo stato della rete e del dispositivo. Ciò include molte informazioni, la maggior parte delle quali è "va tutto bene". Per ridurre al minimo le possibilità di falsi negativi, ovvero attività dannose perse, la maggior parte dei sistemi IDS è configurata per essere molto "nervosa". Viene segnalato anche il minimo accenno di qualcosa che non va. Spesso questo rapporto deve quindi essere valutato da un essere umano. Se ci sono molti falsi positivi, il team responsabile può essere rapidamente sopraffatto e affrontare il burnout. Per evitare ciò, possono essere introdotti filtri per ridurre la sensibilità dell'IDS, ma ciò aumenta il rischio di falsi negativi. Inoltre,

La centralizzazione del sistema comporta spesso anche l'aggiunta di un sistema SIEM complesso. SIEM è l'acronimo di Security Information and Event Management System. In genere coinvolge una serie di agenti di raccolta in rete che raccolgono rapporti dai dispositivi vicini. Questi agenti di riscossione inviano quindi i rapporti al sistema di gestione centrale. L'introduzione di un SIEM aumenta la superficie delle minacce di rete. I sistemi di sicurezza sono spesso abbastanza ben protetti, ma questa non è una garanzia e possono essere essi stessi vulnerabili all'infezione da parte di malware che quindi impedisce a se stesso di essere segnalato. Questo, tuttavia, è sempre un rischio per qualsiasi sistema di sicurezza.

Automatizzare le risposte con un IPS

Un IDS è fondamentalmente un sistema di allarme. Cerca attività dannose e quindi invia avvisi al team di monitoraggio. Ciò significa che tutto è controllato da un essere umano, ma ciò comporta il rischio di ritardi, soprattutto nel caso di un'esplosione di attività. Per esempio. Immagina se un worm ransomware riesce a entrare nella rete. Potrebbe volerci del tempo prima che i revisori umani identifichino un avviso IDS come legittimo, a quel punto il worm potrebbe essersi diffuso ulteriormente.

Un IDS che automatizza il processo di azione sugli avvisi ad alta certezza è chiamato IPS o IDPS con la "P" che sta per "Protezione". Un IPS intraprende azioni automatizzate per cercare di ridurre al minimo il rischio. Ovviamente, con l'alto tasso di falsi positivi di un IDS non vuoi che un IPS agisca su ogni avviso, ma solo su quelli che si ritiene abbiano un'elevata certezza.

Su un HIDS, un IPS agisce come una funzione di quarantena del software antivirus. Blocca automaticamente il malware sospetto e avvisa il team di sicurezza affinché analizzi l'incidente. Su un NIDS, un IPS deve essere in linea. Ciò significa che tutto il traffico deve passare attraverso l'IPS, rendendolo un singolo punto di errore. Al contrario, tuttavia, può rimuovere o eliminare attivamente il traffico di rete sospetto e avvisare il team di sicurezza affinché esamini l'incidente.

Il vantaggio principale di un IPS rispetto a un IDS puro è che può rispondere automaticamente a molte minacce molto più velocemente di quanto si potrebbe ottenere con la sola revisione umana. Ciò gli consente di prevenire cose come eventi di esfiltrazione di dati mentre si verificano piuttosto che identificare semplicemente che è successo dopo il fatto.

Limitazioni

Un IDS ha diverse limitazioni. La funzionalità di rilevamento basata sulle firme si basa su firme aggiornate, rendendola meno efficace nel rilevare nuovi malware potenzialmente più pericolosi. Il tasso di falsi positivi è generalmente molto alto e possono trascorrere lunghi periodi di tempo tra problemi legittimi. Ciò può portare il team di sicurezza a diventare desensibilizzato e indifferente agli allarmi. Questo atteggiamento aumenta il rischio che classifichino erroneamente un raro vero positivo come falso positivo.

Gli strumenti di analisi del traffico di rete in genere utilizzano librerie standard per analizzare il traffico di rete. Se il traffico è dannoso e sfrutta una falla nella libreria, potrebbe essere possibile infettare il sistema IDS stesso. I NIDS in linea fungono da singoli punti di errore. Devono analizzare molto rapidamente un grande volume di traffico e, se non riescono a tenere il passo, devono interromperlo, causando problemi di prestazioni/stabilità, oppure lasciarlo passare, perdendo potenzialmente attività dannose.

L'addestramento di un sistema basato sulle anomalie richiede innanzitutto che la rete sia sicura. Se c'è già un malware che comunica sulla rete, questo verrà incluso normalmente nella linea di base e ignorato. Inoltre, la linea di base può essere lentamente ampliata da un attore malintenzionato che si prende semplicemente il suo tempo per spingersi oltre i confini, allungandoli piuttosto che infrangerli. Infine, un IDS non può analizzare da solo il traffico crittografato. Per poterlo fare, l'impresa avrebbe bisogno di Man in the Middle (MitM) del traffico con un certificato root aziendale. Ciò ha introdotto in passato i propri rischi. Con la percentuale di traffico di rete moderna che rimane non crittografata, ciò può in qualche modo limitare l'utilità di un NIDS. Vale la pena notare che anche senza decrittografare il traffico,

Conclusione

Un IDS è un sistema di rilevamento delle intrusioni. È fondamentalmente una versione ingrandita di un prodotto antivirus progettato per l'uso in reti aziendali e dotato di report centralizzati tramite un SIEM. Può operare sia su singoli dispositivi che monitorare il traffico di rete generale nelle varianti note rispettivamente come HIDS e NIDS. Un IDS soffre di tassi di falsi positivi molto elevati nel tentativo di evitare falsi negativi. In genere, i rapporti vengono valutati da un team di sicurezza umano. Alcune azioni, quando l'attendibilità del rilevamento è elevata, possono essere automatizzate e quindi contrassegnate per la revisione. Tale sistema è noto come IPS o IDPS.