I sistemi di rilevamento delle intrusioni (IDS) sono una soluzione emergente utilizzata per proteggere i dati e salvaguardare le aziende da una varietà di attacchi informatici. I moderni sistemi IDS presentano però serie sfide in merito a privacy e allarmi “falsi positivi”. L’aumento della criminalità informatica, la mancanza di crittografia e strategie di attacco sofisticate stanno travolgendo le attuali strategia utilizzate per la sicurezza informatica, il che significa che le organizzazioni devono aggiornare metodi e tecniche di rilevamento delle minacce. I sistemi di rilevamento delle intrusioni hanno subito molti sviluppi e sono in circolazione da decenni. Fungono da base per la sicurezza delle reti informatiche, aiutano a monitorare il traffico di rete e possono risolvere problemi di sicurezza che sorgono a causa di lacune e vulnerabilità non risolte. Questo articolo illustra come migliorare la sicurezza della rete utilizzando sistemi IDS.
IDS per contrastare gli attacchi informatici
Gli attacchi informatici possono compromettere la sicurezza delle reti odierne e mettere a repentaglio la sicurezza, l’integrità e la reputazione delle organizzazioni. Esiste una crescente necessità per le aziende di salvaguardare la sicurezza della propria rete e implementare strumenti e tecniche per proteggere le proprie risorse. I sistemi di rilevamento delle intrusioni (IDS) vengono utilizzati a fini di sorveglianza e possono proteggere le reti monitorando il traffico per individuare traffico illecito e comportamenti dannosi.
Il monitoraggio è basato sull’analisi di segmenti, dispositivi e attività applicative specifiche per rilevare e identificare comportamenti sospetti. Le soluzioni IDS sono fondamentali per le organizzazioni poiché scansionano i sistemi infrastrutturali alla ricerca di vulnerabilità, malware e violazioni delle policy. I sistemi di rilevamento delle intrusioni sono diversi dai sistemi di prevenzione delle intrusioni in termini di capacità, dove i primi mirano a rilevare e segnalare incidenti, con i sistemi di prevenzione delle intrusioni focalizzati sull’arresto degli incidenti o sulla causa di violazioni della sicurezza.
Esistono molti tipi diversi di soluzioni IDS per le aziende e la maggior parte di esse è personalizzata in base ai requisiti aziendali. L’automazione nel rilevamento delle intrusioni può eseguire degli audit e identificare gli exploit di vulnerabilità rispetto alle applicazioni target. Le aziende dovrebbero aggiornare i propri IDS per rilevare e rispondere in modo proattivo alle minacce emergenti alla sicurezza della rete.
Sfide associate ai moderni IDS
Le aziende sono alla continua ricerca di framework di rilevamento più rapidi, accurati, scalabili e affidabili per le più recenti soluzioni IDS. Le moderne soluzioni IDS presentano varie sfide come set di dati sbilanciati, bassi tassi di rilevamento, tempi di risposta scarsi e un numero maggiore di falsi positivi. Soffrono anche di problemi di usabilità e la curva di apprendimento è importante per le aziende che non sono abituate a implementare queste soluzioni nelle proprie attività di IT operation.
I sistemi IDS generano un volume elevato di avvisi che può rappresentare un onere significativo per i team interni. Le organizzazioni semplicemente non hanno il tempo o le risorse per ispezionare ogni avviso e questo si traduce in un grosso problema: attività sospette potrebbero passare inosservate.
Le sfide comuni associate ai moderni sistemi IDS sono:
- Frammentazione : gli aggressori dividono i payload suddividendoli in più pacchetti ma rimanendo “sotto il radar” di rilevamento. I pacchetti inviati da un frammento possono sovrascrivere i dati dei pacchetti precedenti e ci sono casi in cui i pacchetti vengono inviati nell’ordine errato per confondere il sistema IDS. La soluzione IDS va in timeout quando si verificano intervalli tra la trasmissione dei pacchetti di dati o interruzioni impreviste.
- Minacce con larghezza di banda ridotta – Quando un attacco è distribuito su più fonti e si verifica per un lungo periodo, può generare traffico interpretato come “rumore benigno” in quanto confuso con quello generato dagli scanner online. Di conseguenza si verificano falsi positivi e falsi negativi, e ci sono anche casi di “affaticamento da allerta”, che aprono la porta a minacce più pericolose.
I migliori consigli per aggiornare l’IDS
È importante tenere conto del livello di tolleranza al rischio di un’organizzazione quando si investe in nuove misure di sicurezza e garantire un’esposizione minima ai rischi emergenti. Quando gli IDS legacy si spostano sul Cloud, si verifica un massiccio aumento del traffico di rete e sono previsti strumenti di monitoraggio della sicurezza della rete.
Per le aziende che stanno passando a provider di cloud pubblici e privati, gli IDS legacy potrebbero non supportare i modelli di distribuzione più recenti. Un sistema SIEM (Security Information and Event Management) può aiutare le organizzazioni a raccogliere informazioni da più fonti, tra cui soluzioni di rilevamento delle intrusioni, registri firewall e applicazioni Web. L’analisi dei dati del firewall può rilevare modifiche indesiderate alla configurazione, impedire l’accesso non autorizzato ai dati e garantire il rispetto degli standard di conformità più recenti come DSS, SOX, GLBA e HIPAA.
Negli ultimi anni, il machine learning e l’intelligenza artificiale hanno notevolmente ampliato l’ambito del rilevamento e della prevenzione delle intrusioni e gli esperti stanno valutando le più recenti tecniche IDS per valutare lo stato della sicurezza organizzativa.
Rilevamento basato sull’intelligenza artificiale e firewall di prossima generazione
Il rilevamento basato sull’intelligenza artificiale è popolare per le sue tecniche di riconoscimento dei modelli e per l’analisi intelligente delle minacce. Può effettuare un controllo incrociato delle firme di intrusione con un database di firme che contiene firme più vecchie e ispezionarlo per trovare sequenze, comandi e azioni nelle reti che potrebbero identificarsi come malware.
Aumentare la precisione delle soluzioni di rilevamento delle intrusioni (IDS) è importante poiché i modelli di minaccia diventano sempre più complessi. Il tipo più comune di IDS utilizzato per massimizzare la sicurezza è il NIDS che si basa su tecniche di violazione di regole e protocolli. Esistono nuovi approcci per identificare gli eventi di attacco di rete e le tecniche di machine learning possono aiutare nella prevenzione degli attacchi zero-day e nella riduzione dei falsi positivi nelle imprese su larga scala, prevenendo così gli attacchi nelle fasi iniziali.
I firewall di nuova generazione (NGFW) possono filtrare in profondità le minacce e abilitare la microsegmentazione nelle reti per un’efficace prevenzione delle intrusioni. Di solito vengono forniti come prodotti autonomi e la maggior parte dei firewall di nuova generazione sono integrati con macchine virtuali e servizi cloud. Le soluzioni NGFW possono essere dotate di IDS e IPS integrati e hanno la capacità di ricevere informazioni sulle minacce in tempo reale da fonti esterne. Le aziende possono aggiungere nuove funzionalità di sicurezza secondo necessità, applicare policy di sicurezza a livello di applicazione e usufruire di integrazioni rapide con le risorse dell’infrastruttura esistente. Un’alternativa all’utilizzo delle soluzioni NGFW è l’utilizzo di piattaforme UTM (Unified Threat Management) che fungono da gateway universale e combinano più soluzioni di sicurezza.
Best Practice per il rilevamento delle intrusioni
Una buona pratica è utilizzare più livelli di tecnologie di rilevamento delle intrusioni per impedire ad autori malintenzionati di prendere il controllo dei sistemi. A questo scopo vengono utilizzati 4 principali approcci di rilevamento delle intrusioni: wireless, analisi del comportamento della rete, rilevamento basato su host e rilevamento degli attacchi basati sulla rete. I modelli di rilevamento delle intrusioni ibridi e d’insieme possono fornire tassi di falsi positivi ridotti e maggiore precisione nel rilevamento di minacce anomale. Gli algoritmi di apprendimento automatico e la selezione delle funzionalità sono metodologie informatiche diffuse utilizzate per migliorare le prestazioni dei sistemi di rilevamento delle intrusioni.
La ricerca IDS raccomanda il modello bayesiano e della miscela limitata infinita per la classificazione delle caratteristiche dei membri. È inoltre progettato per la sicurezza dell’ambiente IoT e può aiutare a classificare le attività di rete in classi anomale e normali. Una Support Vector Machine (SVM) è una tecnica di apprendimento automatico supervisionata utilizzata per effettuare previsioni sulle minacce e può essere utilizzata per la mappatura di caratteristiche non lineari. È molto efficace negli spazi ad alta dimensione e può raggruppare i dati prima che inizi il processo di classificazione.
Le patch virtuali dovrebbero essere utilizzate per proteggere e correggere le vulnerabilità nei sistemi critici. La maggior parte delle organizzazioni adotta un modello di cloud ibrido per proteggere i propri dati negli ambienti locali e cloud. Le soluzioni IDS basate sull’intelligenza artificiale si integrano con più prodotti di sicurezza e offrono funzionalità come l’ispezione approfondita dei pacchetti, l’ispezione URL e SSL on-box e l’analisi avanzata del malware. Avere azioni e policy post-scansione personalizzabili che possono essere automatizzate può aiutare in modo efficiente a proteggere le organizzazioni anche da varie minacce informatiche.
Integrazione delle funzionalità IDS e IPS in SIEM
I sistemi di prevenzione delle intrusioni (IPS) sono essenziali per migliorare la visibilità della rete e possono aiutare a identificare potenziali rischi. L’IPS è in grado di rilevare e bloccare minacce sconosciute in tempo reale e aumentare le capacità delle moderne soluzioni IDS. Altri vantaggi includono la correzione degli errori di controllo della ridondanza ciclica, l’eliminazione di istanze di livelli di rete indesiderati e la risoluzione dei problemi di sequenziamento TCP (Transmission Control Protocol). La connettività SIEM a IPS e IDS può apportare miglioramenti significativi alla sicurezza aziendale e consentire una protezione avanzata dalle minacce. I sistemi SIEM possono acquisire dati da IPS e IDS per fornire un’analisi completa del livello di sicurezza di un’azienda ed effettuare valutazioni accurate della vulnerabilità.
Molte aziende si affidano a fornitori di servizi di sicurezza gestiti (MSSP) per gestire meglio i propri sistemi SIEM e garantire aggiornamenti regolari. Rilevare e reagire alle minacce non è sufficiente e le intrusioni iniziano con semplici vulnerabilità come software obsoleto, porte aperte e limiti illimitati ai tentativi di accesso. Le intrusioni persistenti di malware sono subdole e non attivano allarmi e pratiche imprudenti sul lavoro, come l’uso eccessivo di account privilegiati, la visita di siti Web non sicuri e la permanenza dell’accesso per lunghi periodi di tempo, possono predisporre le organizzazioni a nuove violazioni dei dati. Le soluzioni SIEM combinate con IPS e IDS sono in grado di rilevare tali abitudini, rafforzare la sicurezza e prevenire modelli insoliti di utilizzo degli account, aiutando così le aziende a prevenire attacchi informatici e a migliorare la sicurezza in modo efficace.
Il monitoraggio del traffico nord-sud nelle infrastrutture basate sul cloud è sempre più importante poiché le applicazioni vengono distribuite su più data center e piattaforme cloud. Le aziende dovrebbero utilizzare la VPN per controllare il flusso del traffico nord-sud e implementare il protocollo Secure Socket Layer (SSL) per crittografare i dati trasmessi tra client e server e proteggere le connessioni. Il monitoraggio della sicurezza del traffico est-ovest controlla le attività che si verificano lateralmente all’interno dei perimetri della rete e mitiga il rischio per le operazioni distribuite. Le migliori pratiche per un’efficiente sicurezza IDS est-ovest sono l’applicazione della segmentazione della rete e l’esecuzione di un’ispezione granulare del traffico est-ovest utilizzando controlli basati su policy. L’analisi avanzata del malware e il sandboxing preverranno inoltre gli attacchi zero-day e forniranno un rilevamento accurato delle minacce durante il processo.
Conclusione
Le capacità di IDS nel rilevamento degli attacchi dipendono dalla semplificazione di set di dati di grandi dimensioni e dalla selezione delle funzionalità più influenti per migliorare la precisione e le prestazioni del modello. Diversi algoritmi IDS possono migliorare notevolmente le prestazioni dei sistemi di rilevamento delle intrusioni ed è chiaro che algoritmi ML come DT, KNN, ANN, BN e SVM offrono tutti caratteristiche e funzionalità uniche che consentono l’ottimizzazione e il miglioramento dell’IDS. Quando l’IDS viene combinato con l’apprendimento automatico e l’intelligenza artificiale, la sua precisione nel rilevamento delle minacce basate sulla rete R2L e DoS aumenta notevolmente. La velocità del processo di formazione e test è un altro fattore significativo nel miglioramento dei modelli IDS, insieme alla selezione appropriata dei parametri per migliorare la precisione del rilevamento. Le aziende possono anche adottare l’approccio di ottimizzazione ibrida dei dati basato su algoritmi ML e utilizzare tecniche di campionamento dei dati per isolare i valori anomali. Con la corretta strategia di modellazione, è possibile aggiornare le prestazioni dell’IDS, scoprire minacce nascoste in tempo reale e rilevare anche tipi sconosciuti di comportamenti anomali nelle reti.
Contattaci per ottenere maggiori informazioni sugli IDS e ricevere una consulenza su come implementarli nella tua organizzazione.