IDS e IPS: quali sono le differenze e le analogie tra i sistemi di sicurezza?

Il metodo più efficace per proteggere una rete o un singolo sistema informatico è quello di individuare e prevenire gli attacchi fin da subito, prima ancora che possano causare danni. Un’aggiunta utile al firewall sono i sistemi di rilevamento e di prevenzione delle intrusioni. Ti spieghiamo cosa accomuna e distingue gli IDS dagli IPS.

Prima di entrare nel dettaglio del confronto tra IDS e IPS, ti presentiamo in breve i due sistemi. IDS è l’acronimo di intrusion detection system (sistema di rilevamento delle intrusioni), vale a dire un sistema in grado di rilevare il prima possibile attacchi a un client o a una rete. Qualora l’IDS rilevi un traffico di dati insolito durante la sua analisi, invia un avviso all’amministratore o all’amministratrice. L’IDS opera una distinzione tra i metodi di rilevamento degli attacchi basati sull’host e quelli basati sulla rete. IPS, ovvero intrusion prevention system (sistema di prevenzione delle intrusioni), indica invece un sistema che non solo rileva e segnala potenziali attacchi, ma li contrasta con contromisure attive. Questo sistema utilizza anche sensori basati su host e rete per valutare i dati di sistema e i pacchetti di rete.

IDS e IPS: quali sono le analogie?

Con questa breve introduzione è già chiaro che IDS e IPS non sono concetti diametralmente opposti, ma anzi condividono alcuni aspetti importanti. I sistemi di rilevamento delle intrusioni e i sistemi di prevenzione delle intrusioni sono accomunati dai seguenti elementi:

Analisi

In molti casi i metodi di analisi utilizzati da entrambi i sistemi sono quasi o completamente equivalenti. IPS e IDS si avvalgono entrambi di sensori sull’host, nella rete o in entrambi i punti per controllare i dati del sistema e i pacchetti di dati nella rete ed esaminarli alla ricerca di minacce. A questo scopo ricorrono a parametri definiti, in modo da rilevare le deviazioni, ma spesso identificano anche anomalie in realtà innocue. In base al sistema, l’analisi viene effettuata tramite misuse detection (rilevamento di abusi) o anomaly detection (rilevamento delle anomalie). Ne consegue che anche le potenziali vulnerabilità sono simili: in caso di rilevamento di abusi, le minacce sconosciute possono essere trascurate, mentre il rilevamento delle anomalie segnala più frequentemente pacchetti di dati innocui.

Database

Ai fini del rilevamento delle minacce, entrambi i sistemi si basano su un database che viene utilizzato per identificare le minacce in modo più rapido e accurato. Più questa libreria è fornita, più alto è il tasso di successo di entrambi i sistemi. Pertanto, anche IDS e IPS non devono essere intesi come dispositivi statici, ma come sistemi modificabili e in grado di apprendere, costantemente migliorabili grazie agli aggiornamenti.

Ricorso all’intelligenza artificiale

Uno dei fattori che gioca un ruolo importante per gli IDS e gli IPS è l’intelligenza artificiale. Mediante l’apprendimento automatico, i sistemi moderni riescono a perfezionare il rilevamento delle minacce e ad ampliare i propri database. In questo modo sono in grado di comprendere meglio i nuovi schemi di attacco, di rilevarli prima e, allo stesso tempo, di segnalare meno frequentemente i pacchetti innocui.

Opzioni di configurazione

Entrambi i sistemi possono essere personalizzati e adattati alle esigenze di una rete o di un sistema informatico. Con questa configurazione si garantisce che i processi non vengano interrotti e che tutti i componenti funzionino senza problemi nonostante il monitoraggio. Dal momento che IDS e IPS effettuano scansioni e analisi in tempo reale, anche questo è un fattore importante.

Automatizzazione

IDS e IPS lavorano entrambi in modo automatico e autonomo. Dopo essere stati configurati, non richiedono la supervisione del personale di sicurezza, ma eseguono i propri compiti come richiesto. Forniscono un feedback solo in caso di situazioni di pericolo.

Rilevamento e avviso delle minacce

Nonostante alcuni fattori che differenziano IDS e IPS, la loro funzione di base è comune: entrambi i sistemi non solo rilevano le minacce, ma avvertono immediatamente l’amministratore o l’amministratrice. L’avviso può essere inviato per e-mail, come notifica su un dispositivo mobile o direttamente come allarme di sistema. Ciò offre a chi di dovere l’opportunità di decidere le azioni da intraprendere.

Funzione di protocollo

Sia i sistemi IDS che IPS dispongono di un’importante funzione di protocollo. Ciò consente loro non solo di segnalare (o contrastare) le minacce, ma anche di includerle nel proprio database. Questo li rende ancora più forti e in grado di identificare e idealmente anche risolvere le potenziali vulnerabilità.

Collaborazione con il firewall

Per quanto vi siano alcune differenze tra IDS e IPS, entrambi devono essere intesi come un’integrazione del firewall. Tutti i meccanismi di sicurezza devono essere coordinati per proteggere al meglio il sistema dagli attacchi. Utilizzando solo un sistema di rilevamento delle intrusioni o un sistema di prevenzione delle intrusioni, la rete o il computer non sono sufficientemente protetti.

IDS e IPS: che cosa differenzia i due approcci?

Abbiamo dunque riscontrato alcune somiglianze tra i due sistemi. Nel complesso, tuttavia, si possono individuare diverse differenze nel confronto tra IDS e IPS. Riportiamo le più importanti di seguito:

Prevenzione dei rischi

Come già detto in precedenza, IDS e IPS effettuano entrambi il monitoraggio del rispettivo sistema, segnalano le minacce e le registrano. Il lavoro di un sistema di rilevamento delle intrusioni si ferma qui, ma il sistema di prevenzione delle intrusioni va ben oltre: l’IPS, infatti, è un sistema di sicurezza attivo in grado di contrastare autonomamente eventuali minacce. A tale scopo, può interrompere le connessioni, se necessario, o arrestare e scartare i pacchetti di dati se presentano anomalie. L’IDS, invece, è da considerarsi un sistema passivo che si limita a monitorare e segnalare eventuali pericoli.

Posizionamento

Anche le possibilità di posizionamento dei sistemi IDS rispetto a quelli IPS sono differenti: l’IDS viene collocato su un computer o ai margini di una rete. Da qui è più facile controllare i pacchetti di dati in entrata e in uscita. L’IPS, invece, si colloca dietro il firewall. Qui può non solo segnalare le minacce, ma anche bloccarle nel miglior modo possibile.

Tipologie

Pur essendo entrambe le soluzioni basate su host (HIPS) o su rete (NIPS), esistono anche soluzioni IPS che vengono inserite in una rete Wi-Fi. Questa versione è chiamata WIPS.

Indipendenza

Gli IPS funzionano in modo del tutto indipendente e generalmente trovano soluzioni per diversi scenari di minaccia. Anche gli IDS monitorano i pacchetti di dati senza intervento esterno, ma in caso di rilevamento di una trasmissione sospetta non possono agire autonomamente. Dopo l’invio dell’avviso, l’amministratore o l’amministratrice deve prendere autonomamente le contromisure necessarie.

Configurazione

Di solito, l’IDS funziona “in-line,” ovvero posizionato come un firewall o uno switch sulla “traiettoria” dei pacchetti, e quindi non ha un impatto negativo sulle prestazioni della rete. Questa modalità di funzionamento, tuttavia, deve essere presa in considerazione nella configurazione. Ad esempio, è possibile che l’IDS inoltri una minaccia rilevata direttamente al router o al firewall e ne informi l’amministratore o l’amministratrice. L’IPS può influire negativamente sulle prestazioni della rete. Perciò è ancora più importante che il sistema sia configurato in modo preciso. Se consente il passaggio di pacchetti di dati pericolosi, la protezione non è più garantita. Se invece blocca trasmissioni innocue, ne risentirà l’intera rete.