Proteggi i 13 componenti critici di Entra ID con Barracuda Entra ID Backup Premium.

Sistema di rilevamento delle intrusioni

Sommario

Cos'è un Sistema di Rilevamento delle Intrusioni?

Un sistema di rilevamento delle intrusioni (IDS) è un dispositivo o un'applicazione software che monitora una rete per attività dannose o violazioni delle politiche. Qualsiasi attività dannosa o violazione viene tipicamente segnalata o raccolta centralmente utilizzando un sistema di gestione delle informazioni e degli eventi di sicurezza. Alcuni IDS sono in grado di rispondere alle intrusioni rilevate al momento della scoperta. Questi sono classificati come sistemi di prevenzione delle intrusioni (IPS).

tipi di rilevamento IDS

Esiste un'ampia gamma di IDS, che vanno dai software antivirus ai sistemi di monitoraggio a più livelli che seguono il traffico di un'intera rete. Le classificazioni più comuni sono:

  • Sistemi di rilevamento delle intrusioni di rete (NIDS): Un sistema che analizza il traffico di rete in entrata.
  • Sistemi di rilevamento delle intrusioni basati su host (HIDS): Un sistema che monitora i file importanti del sistema operativo.

Esiste anche un sottoinsieme di tipi di IDS. Le varianti più comuni si basano su rilevamento delle firme e rilevamento delle anomalie.

  • Basato su firma: Gli IDS basati su firma rilevano possibili minacce cercando modelli specifici, come sequenze di byte nel traffico di rete o sequenze di istruzioni dannose conosciute utilizzate dal malware. Questa terminologia origina dal software antivirus, che si riferisce a questi modelli rilevati come firme. Sebbene gli IDS basati su firma possano facilmente rilevare attacchi noti, è impossibile rilevare nuovi attacchi per i quali non è disponibile alcun modello.
  • Basata su anomalie: una tecnologia più recente progettata per rilevare e adattarsi ad attacchi sconosciuti, principalmente a causa dell'esplosione del malware. Questo metodo di rilevamento utilizza l'apprendimento automatico per creare un modello definito di attività affidabile e poi confrontare il nuovo comportamento con questo modello di fiducia. Sebbene questo approccio consenta il rilevamento di attacchi precedentemente sconosciuti, può soffrire di falsi positivi: attività legittime precedentemente sconosciute possono essere accidentalmente classificate come dannose.

Utilizzo degli IDS nelle reti

Quando posizionato in un punto o in punti strategici all'interno di una rete per monitorare il traffico da e verso tutti i dispositivi sulla rete, un IDS eseguirà un'analisi del traffico in transito e confronterà il traffico che transita sui subnet con la libreria degli attacchi noti. Una volta identificato un attacco o rilevato un comportamento anomalo, l'allerta può essere inviata all'amministratore.

Tecniche di evasione

Essere consapevoli delle tecniche a disposizione dei criminali informatici che cercano di violare una rete sicura può aiutare i reparti IT a comprendere come i sistemi IDS possano essere ingannati per non perdere minacce attuabili.

  • Frammentazione: L'invio di pacchetti frammentati consente all'attaccante di rimanere sotto il radar, bypassando la capacità del sistema di rilevamento di individuare la firma dell'attacco.
  • Evitare i valori predefiniti: Una porta utilizzata da un protocollo non fornisce sempre un'indicazione al protocollo che viene trasportato. Se un attaccante l'avesse riconfigurata per utilizzare una porta diversa, l'IDS potrebbe non essere in grado di rilevare la presenza di un trojan.
  • Attacchi coordinati a bassa larghezza di banda: coordinare una scansione tra numerosi attaccanti, o persino allocare vari porti o host a diversi attaccanti. Questo rende difficile per l'IDS correlare i pacchetti catturati e dedurre che è in corso una scansione della rete.
  • Spoofing dell'indirizzo/proxying: gli attaccanti possono oscurare la fonte dell'attacco utilizzando server proxy mal configurati o poco sicuri per rimbalzare un attacco. Se la fonte viene falsificata e rimbalzata da un server, diventa molto difficile da rilevare.
  • Evasione del cambio di modello: Gli IDS si basano sul matching dei modelli per rilevare gli attacchi. Apportando lievi modifiche all'architettura dell'attacco, il rilevamento può essere evitato.

Perché i sistemi di rilevamento delle intrusioni sono importanti

Gli ambienti aziendali moderni e connessi richiedono un elevato livello di sicurezza per garantire una comunicazione sicura e affidabile delle informazioni tra le varie organizzazioni. Un sistema di rilevamento delle intrusioni agisce come una tecnologia di salvaguardia adattabile per la sicurezza del sistema dopo che le tecnologie tradizionali falliscono. Gli attacchi informatici diventeranno sempre più sofisticati, quindi è importante che le tecnologie di protezione si adattino ai loro rischi.

Scopri di più sui sistemi di rilevamento delle intrusioni

Termini correlati

In che modo Barracuda può essere di aiuto

Barracuda CloudGen Firewall ha superato i tradizionali sistemi di rilevamento delle intrusioni generalmente utilizzati dai firewall meno avanzati di oggi. Il sistema di Rilevamento e Prevenzione delle Intrusioni (IDS/IPS) del Barracuda CloudGen Firewall migliora notevolmente la sicurezza della rete fornendo una protezione della rete in tempo reale completa e di ampio respiro contro un'ampia gamma di minacce alla rete. Inoltre, tutti i modelli di Barracuda CloudGen Firewall possono applicare IPS/IDS al traffico web crittografato SSL utilizzando l'approccio standard 'trusted man-in-the-middle'.

Hai altre domande su Intrusion Detection Systems? Contattaci oggi!

Chiama il numero +1 617 948 5300

Assistenza via e-mail

Ricevi assistenza da Barracuda

Informazioni sull'azienda

I nostri siti web

Contatti

Note legali

© 2003 – 2025 Barracuda Networks, Inc. Tutti i diritti riservati