LOGIN
Quando si parla di sicurezza informatica applicata al mondo aziendale spesso ci si imbatte in sigle quali IDS e IPS: due acronimi che indicano rispettivamente gli Intrusion Detection System e gli Intrusion Prevention System.
In entrambi i casi si tratta di soluzioni che possono integrare software e hardware per garantire il massimo livello possibile di protezione da attacchi digitali di vario genere.
IDS e IPS si distinguono in base a funzionalità e servizi specifici, ma funzionano in maniera simile. Ed entrambi non vanno confusi con i firewall: un altro sistema di protezione dei dispositivi, che spesso e volentieri viene integrato tanto dagli Intrusion Detection System, quanto dagli Intrusion Prevention System.
Cos’è e come funziona l’Intrusion Detection System
Credits Shutterstock
L’Intrusion Detection System è letteralmente un Sistema di Rilevazione delle Intrusioni, spesso rappresentato con l’acronimo IDS. Grazie all’IDS è possibile monitorare la sicurezza di un qualsiasi sistema informatico, come ad esempio quello di un’azienda. Ma è possibile ricorrere a un IDS anche nell’ambito di situazioni e dispositivi domestici.
L’obiettivo dell’Intrusion Detection System è di tenere sotto controllo eventuali attacchi da parte di hacker ai computer che compongono il sistema informatico di cui sopra: questo vuol dire innanzitutto riuscire a identificarli per tempo.
Proprio la rilevazione (detection) rappresenta un filone di attività fondamentali per tutto il mondo della cyber security: quell’insieme di professionisti e soluzioni che permettono di resistere ad attacchi digitali di vario genere.
L’acronimo IDS sta per Intrusion Detection System: un Sistema di Rilevazione di Intrusione che protegge dispositivi e reti informatiche
Rilevare un attacco per tempo è ancor più importante, se si considera che la stragrande maggioranza delle aziende viene presa di mira da hacker o malintenzionati. Molte di loro, sostengono gli esperti, vengono addirittura attaccate senza che se ne accorga nessuno.
Questo perché diversi attacchi possono rimanere più o meno dormienti per un lungo intervallo di tempo. Per non parlare poi di quegli attacchi che puntano a rimanere invisibili proprio per la via della loro natura.
Si pensi ai cosiddetti Advanced Persistent Threat (ATP): minacce persistenti e avanzate, che si insinuano all’interno di un sistema informatico con l’obiettivo di rubare il maggior numero possibile di dati fino al momento della loro individuazione.
E da questo punto di vista le stime di settore fanno, purtroppo, la gioia degli hacker. Al giorno d’oggi infatti il tempo medio di scoperta di un attacco digitale è di oltre 200 giorni. Utilizzare un Intrusion Detection System permette di abbattere questo periodo di attesa. E soprattutto di sventare una minaccia prima che provochi danni troppo gravi.
Cos’è e come funziona l’Intrusion Prevention System
Credits Shutterstock
L’Intrusion Prevention System è letteralmente un Sistema di Prevenzione delle Intrusioni, spesso rappresentato con l’acronimo IPS. Da un punto di vista concettuale, l’IPS porta la soglia protezione garantita da un classico Intrusion Detection System a un livello superiore.
Ad esempio i classici IDS si limitano a individuare attacchi digitali a un sistema informatico, avvisando per tempo l’amministratore di rete. L’Intrusion Prevention System può invece provvedere all’attuazione autonoma di tutta una serie di contromisure.
L’obiettivo degli IPS è ridurre al minimo il lasso di tempo che generalmente passa tra l’individuazione di un attacco da parte di hacker e la messa in atto effettiva di strategie o operazioni di difesa.
Dal punto di vista dell’analisi dei sistemi, Intrusion Detection System e Intrusion Prevention System possono funzionare in maniera anche molto simile. Ad esempio questo genere di sistemi spesso ricorre ai medesimi sensori, che permettono di analizzare e classificare tutti i dati contenuti all’interno di un pacchetto di rete.
Le funzioni di IDS e IPS generalmente hanno a che fare con l’individuazione di anomalie ed eventi. Ma anche con il monitoraggio della sicurezza e con processi di indagine più generici. In entrambi i casi è possibile che il sistema venga realizzato con componenti hardware e software apposite.
A prescindere da questo, sia gli IDS che gli IPS si integrano con i firewall dei dispositivi che controllano, con l’obiettivo di aumentare il livello generale di protezione e di sicurezza informatica.
Cosa cambia tra firewall, IDS e IPS
Credits Shutterstock
Nei capoversi precedenti si accennava all’integrazione che avviene tra Intrusion Detection System, Intrusion Prevention System e firewall: quei sistemi di protezione generalmente installati sui dispositivi, a prescindere dal sistema operativo in uso.
IDS, IPS e firewall si occupano di sicurezza informatica, ma con funzioni e obiettivi specifici leggermente differenti. Non bisogna infatti dimenticare che i firewall intercettano i pacchetti dati in maniera meccanica: tengono conto di regole specifiche che devono essere rispettate, al momento dell’entrata nella e dell’uscita dalla rete locale.
Si può sostenere che i firewall funzionino su uno strato relativamente basso della comunicazione di rete: non a caso le loro regole di filtraggio sono spesso limitate. Ad esempio limitate all’indirizzo IP, all’orario o alla porta di accesso.
Intrusion Detection System e Intrusion Prevention System non sostituiscono i firewall, ma possono monitorare anche le loro attività
IDS e IPS si posizionano a un livello superiore rispetto ai firewall. Con il risultato che analizzano anche il loro comportamento, oltre che quello dei pacchetti di dati generati. Questo presupposto aiuta a capire come mai Intrusion Detection System e Intrusion Prevention System siano in grado di individuare un attacco digitale che viene creato direttamente all’interno di una rete locale. La classica minaccia che il firewall non è tecnicamente in grado di individuare o bloccare.
Per fare un paragone più concreto, è possibile pensare al firewall come a un vero e proprio ostacolo: un muro invalicabile, piuttosto che una porta blindata. Una componente che impedisce l’accesso a visitatori sgraditi. Volendo proseguire l’analogia IDS e IPS possono invece venire paragonati a dei sistemi di allarme.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
