Sistema di prevenzione delle intrusioni (IPS)

Un sistema di prevenzione delle intrusioni (IPS) è un dispositivo di protezione della rete automatizzato utilizzato per monitorare e rispondere a potenziali minacce. Come un sistema di rilevamento delle intrusioni (IDS), un IPS determina le possibili minacce esaminando il traffico di rete.

Poiché un exploit può essere eseguito molto rapidamente dopo che un attaccante ottiene l'accesso, i sistemi di prevenzione delle intrusioni gestiscono una risposta automatizzata a una minaccia, basata su regole stabilite dall'amministratore di rete.

Le funzioni principali di un IPS sono identificare attività sospette, registrare informazioni pertinenti, tentare di bloccare l'attività e infine segnalarla.

Gli IPS includono firewall, software antivirus e software anti-spoofing. Inoltre, le organizzazioni utilizzeranno un IPS per altri scopi, come identificare problemi con le politiche di sicurezza, documentare le minacce esistenti e dissuadere gli individui dal violare le politiche di sicurezza. Gli IPS sono diventati una componente importante di tutte le principali infrastrutture di sicurezza nelle organizzazioni moderne.

Come funziona un IPS

Un sistema di prevenzione delle intrusioni funziona scansionando attivamente il traffico di rete inoltrato alla ricerca di attività dannose e modelli di attacco noti. Il motore IPS analizza il traffico di rete e confronta continuamente il flusso di bit con il suo database interno di firme per i modelli di attacco noti. Un IPS potrebbe scartare un pacchetto determinato come dannoso e seguire questa azione bloccando tutto il traffico futuro dall'indirizzo IP o dalla porta dell'attaccante. Il traffico legittimo può continuare senza alcuna interruzione percepita nel servizio.

I sistemi di prevenzione delle intrusioni possono anche eseguire osservazioni e analisi più complesse, come monitorare e reagire a modelli o pacchetti di traffico sospetti. I meccanismi di rilevamento possono includere:

• Corrispondenza degli indirizzi
• stringa e corrispondenza di sottostringhe HTTP
• Mi dispiace, ma non vedo alcun testo specifico che richieda la traduzione in italiano. Potrebbe fornire il testo che desidera tradurre?
• analisi della connessione TCP
• Rilevamento di anomalie nei pacchetti
• Rilevamento delle anomalie di traffico
• corrispondenza delle porte TCP/UDP

Un IPS registra tipicamente informazioni relative agli eventi osservati, notifica agli amministratori della sicurezza e produce report. Per aiutare a proteggere una rete, un IPS può ricevere automaticamente aggiornamenti di prevenzione e sicurezza per monitorare e bloccare continuamente le minacce emergenti su Internet.

Contromisure alle intrusioni

Molti IPS possono anche rispondere a una minaccia rilevata impedendole attivamente di avere successo. Usano diverse tecniche di risposta, che includono:

• Modificare l'ambiente di sicurezza — ad esempio, configurando un firewall per aumentare le protezioni contro vulnerabilità precedentemente sconosciute.
• Modificare il contenuto dell'attacco — ad esempio, sostituendo parti altrimenti dannose di un'e-mail, come link falsi, con avvisi sul contenuto eliminato.
• Invio di allarmi automatici agli amministratori di sistema, notificandoli di possibili violazioni della sicurezza.
• Rilevamento di pacchetti dannosi scartati.
• Reimpostazione di una connessione.
• Blocco del traffico dall'indirizzo IP offensivo.

Classificazioni IPS

I sistemi di prevenzione delle intrusioni possono essere organizzati in quattro tipi principali:

• Sistema di prevenzione delle intrusioni basato su rete (NIPS): Analizza l'attività del protocollo su tutta la rete, cercando qualsiasi traffico non affidabile.
• Sistema di prevenzione delle intrusioni wireless (WIPS): Analizza l'attività dei protocolli di rete in tutta la rete wireless, cercando eventuali traffici non affidabili.
• Sistema di prevenzione delle intrusioni basato su host (HIPS): Un pacchetto software secondario che monitora un singolo host per attività dannose, analizzando gli eventi che si verificano all'interno di tale host.
• Analisi del comportamento della rete (NBA): Esamina il traffico di rete per identificare minacce che generano flussi di traffico anomali. Le minacce più comuni sono attacchi di denial of service distribuiti, varie forme di malware e abusi delle politiche. matching di pattern per rilevare attacchi. Apportando lievi modifiche all'architettura dell'attacco, è possibile evitare il rilevamento.

metodi di rilevamento IPS

La maggior parte dei sistemi di prevenzione delle intrusioni utilizza uno dei tre metodi di rilevamento: basato su firme, basato su anomalie statistiche e analisi dei protocolli stateful.

• Rilevamento basato su firme: IDS basato su firme monitora i pacchetti nella rete e li confronta con modelli di attacco predefiniti, noti come "firme".
• Rilevamento basato su anomalie statistiche: Un IDS basato su anomalie monitorerà il traffico di rete e lo confronterà con i modelli di traffico previsti. La linea di base identificherà ciò che è "normale" per quella rete — che tipo di pacchetti generalmente attraverso la rete e quali protocolli vengono utilizzati. Tuttavia, potrebbe sollevare un falso allarme positivo per l'uso legittimo della larghezza di banda se le linee di base non sono configurate in modo intelligente.
• Rilevamento dell'analisi del protocollo stateful: Questo metodo identifica le deviazioni del protocollo confrontando gli eventi osservati con i profili di attività predeterminati di attività normale.

Gli ambienti aziendali moderni e connessi richiedono un alto livello di sicurezza per garantire una comunicazione sicura e affidabile delle informazioni tra varie organizzazioni. Un sistema di prevenzione delle intrusioni agisce come tecnologia di protezione adattabile per la sicurezza del sistema dopo le tecnologie tradizionali. La capacità di prevenire le intrusioni attraverso un'azione automatizzata, senza richiedere intervento IT, significa costi inferiori e maggiore flessibilità delle prestazioni. Gli attacchi informatici diventeranno sempre più sofisticati, quindi è importante che le tecnologie di protezione si adattino insieme alle loro minacce.