La sicurezza delle reti informatiche è una priorità per tutte le organizzazioni, dalle più grandi alle piccole. In un mondo sempre più interconnesso le minacce informatiche sono in costante evoluzione e i sistemi tradizionali di protezione, come i firewall, spesso non sono sufficienti. Ecco dove entrano in gioco i Sistemi di Rilevamento delle Intrusioni (IDS) e i Sistemi di Prevenzione delle Intrusioni (IPS). Questi strumenti monitorano costantemente il traffico di rete e aiutano a identificare, bloccare e mitigare potenziali minacce prima che possano danneggiare l’infrastruttura aziendale.
Indice degli argomenti
Cos’è e come funziona un Intrusion Detection System
Un IDS (Intrusion Detection System) è un sistema progettato per monitorare il traffico di rete o le attività su host specifici, con lo scopo di individuare comportamenti sospetti o non autorizzati. Gli IDS non bloccano il traffico ma rilevano e segnalano potenziali minacce, consentendo agli amministratori di agire rapidamente.
Esistono due principali categorie di IDS, la prima agisce a livello di traffico di rete, la seconda invece a livello di host singolo. In molti casi la presenza di un IDS di qualsiasi natura viene considerato un livello di protezione sufficiente quando in realtà sarebbe auspicabile averli entrambi poiché, in caso di segnalazioni, l’incrocio dei dati provenienti dai due diversi sistemi permetterebbe di isolare in modo ottimale eventuali fattori di compromissione e di conseguenza, di identificare un eventuale attacco con una precisione altrimenti non raggiungibile.
I Network-based IDS (NIDS)
La prima tipologia che andremo ad analizzare è quella che racchiude i cosiddetti Network-based IDS (NIDS), ovvero quei sistemi che monitorano l’intera rete analizzando il traffico per individuare anomalie o attività sospette. Questo strumento funziona passivamente in quanto osserva il flusso dei dati attraverso vari punti chiave di una rete per individuare possibili intrusioni o attività anomale che potrebbero compromettere l’integrità, la disponibilità o la riservatezza delle risorse di rete.
Un NIDS va posizionato in punti strategici della rete, spesso nei pressi del gateway, di router o switch, per analizzare in tempo reale il traffico in entrata e in uscita. Il sistema cattura i pacchetti che circolano nella rete e li confronta con una serie di regole o firme di attacchi noti. Qualora rilevasse delle anomalie o traffico che corrisponde a modelli di attacco conosciuto, genererebbe a sua volta degli allarmi che verrebbero inviati agli analisti o, in alcuni casi, ai SOC dedicati all’analisi di tali informazioni.
Il funzionamento di un NIDS
Il funzionamento di un NIDS si basa su tre componenti principali che convivono e forniscono, ognuno per la loro specializzazione, informazioni cruciali per l’identificazione delle eventuali criticità.
La prima “arma” a disposizione del sistema è la cattura del traffico dati. Attraverso la raccolta continua dei pacchetti che attraversano la rete viene effettuata un’analisi del loro contenuto. Per poter effettuare tale indagine il sistema necessita di poter vedere il traffico di rete in tempo reale o comunque con un delay molto ridotto. Purtroppo, per raggiungere tale obiettivo non ci sono molte scelte tecniche e tecnologiche applicabili: o il NIDS viene messo in modalità “trasparente” tra i componenti della rete oppure ci si deve affidare a tecnologie di mirroring del traffico: port mirroring sugli apparati di rete attivi o network taps.
Le tecniche di rilevamento di un NIDS
Un NIDS utilizza principalmente due tecniche di rilevamento:
- Rilevamento Signature-based: In questo caso vengono confrontati i pacchetti di rete con un database di firme predefinite, rappresentanti modelli di attacchi noti. Questo metodo è efficace per rilevare minacce già documentate, come gli attacchi DDoS o lo sfruttamento di vulnerabilità conosciute tuttavia, non è in grado di individuare attacchi nuovi o varianti non ancora inserite nel database. Va da sé che in caso di attacchi conosciuti un rilevamento di questo tipo è molto preciso e quasi infallibile ma risulta completamente impreparato ad affrontare minacce non note come ad esempio attacchi zero-day o metodologie sconosciute. In questo caso diventa fondamentale mantenere costantemente aggiornate le firme e l’interfacciamento del NIDS con eventuali sistemi di CTI (Cyber Threat Intelligence) così da “essere al passo” con la situazione attuale.
- Rilevamento Anomaly-based: In questo approccio, il NIDS stabilisce un profilo normale del traffico di rete e segnala qualsiasi deviazione significativa identificandola come un potenziale attacco. Questo metodo è chiaramente utile per rilevare attacchi sconosciuti o zero-day, che non hanno ancora una firma definita, ma può generare un alto numero di falsi positivi aumentando il lavoro degli analisti in modo considerevole.
Un NIDS può rilevare una vasta gamma di minacce ma, trattandosi di un sistema di analisi passiva, non è in grado di intervenire per limitarle o bloccarle, può solo segnalarle. Pensiamo ad un NIDS come al monitor di un metal detector: rileva e segnala una eventuale arma presente all’interno di una valigia ma non è in grado di fermarne il possessore senza l’intervento umano. In questi termini possiamo dire che un NIDS è un sistema di prevenzione passiva che da solo risulta insufficiente per la messa in sicurezza di una rete, ha bisogno di essere aiutato nel suo compito da altre tecnologie quali firewalls, IPS e altre tecnologie attive.
L’Host-based IDS (HIDS)
Come il NIDS opera sulla rete un Host-based IDS (HIDS) invece concentra la sua attività sui singoli dispositivi o host all’interno della rete, analizzandone i log, il sistema operativo, i processi di sistema, l’integrità dei file critici e di configurazione, per rilevare comportamenti dannosi o alterazioni del sistema non previste o autorizzate.
A differenza del precedentemente descritto NIDS un HIDS per svolgere il suo lavoro ha bisogno di un “agente” installato direttamente sull’host, preferibilmente durante i primi avvii della macchina in fase di configurazione, con i privilegi di accedere a tutte le componenti della macchina stessa. Monitora le attività locali e confronta tali attività con un insieme di regole predefinite o modelli di comportamento preimpostati. Durante la sua operatività il sistema controlla continuamente i file di log dell’OS, delle applicazioni e gli eventi di sistema alla ricerca di attività sospette o comportamenti insoliti. Questo compito è chiaramente molto vincolato al sistema operativo dell’host, ad esempio su una macchina linux verrà installato un parser (o un log wrapper) per leggere e analizzare i contenuti di /var/log e gli eventuali messaggi di sistema che vengono inviati al demone syslog (o chi per lui) mentre su una macchina windows verrà tenuto sotto controllo il servizio di raccolta eventi.
La metodologia di analisi degli HIDS
Vedremo che la differenza di “metodologia di analisi” dipendente dall’OS è una caratteristica peculiare degli HIDS, ostacolo che un NIDS non può incontrare in quanto “osservatore esterno”. Un altro degli aspetti fondamentali di un HIDS è il monitoraggio dell’integrità dei file critici. Il sistema tiene traccia delle modifiche ai file di sistema, ai file di configurazione o ai file eseguibili importanti. Se un file viene modificato in modo inatteso, come durante un attacco di malware o un tentativo di compromissione del sistema, il HIDS genera un avviso. Inoltre, tiene sotto controllo l’esecuzione dei processi, verificando se sono legittimi o se vi sono tentativi di eseguire codice malevolo. L’HIDS può anche esaminare l’attività delle risorse di sistema, come l’uso della CPU o della memoria, per individuare comportamenti anomali o indicatori di compromissione relativi a malware o attacchi. Mentre i precedenti metodi di analisi sono comunemente presenti su quasi tutti gli HIDS, i sistemi di individuazione delle anomalie basati sui comportamenti (behavioural) sono invece più rari. Qualora fossero presenti, l’HIDS analizza l’attività degli utenti sul sistema, come i tentativi di accesso, l’elevazione dei privilegi, l’apertura di sessioni remote, etc.. e in base a questi può identificare tentativi di accesso non autorizzati, come attacchi di forza bruta o accessi sospetti da utenti legittimi che mostrano un comportamento anomalo. È chiaro come questa metodologia di analisi richieda un gran lavoro di configurazione e di tuning iniziale per far sì che i falsi positivi possano essere ridotti al minimo, risparmiando agli analisti inutili sessioni di studio all’inseguimento di “fantasmi” e ottimizzandone il lavoro.
Le diverse categorie di HIDS
Esistono diverse categorie di HIDS, ciascuna con caratteristiche specifiche in base al tipo di monitoraggio che viene effettuato:
- HIDS file based: Il sistema monitora l’integrità dei file critici dell’host, segnalando modifiche, cancellazioni o creazioni non autorizzate. Questo è particolarmente utile per rilevare attacchi che mirano a modificare file di sistema o installare malware.
- HIDS log based: analizza i log generati dal sistema operativo, dalle applicazioni e dai servizi per individuare attività sospette o comportamenti non conformi alla sicurezza. Un esempio comune è il monitoraggio dei log di accesso per rilevare tentativi di login falliti o sessioni non autorizzate.
- HIDS process based: monitora i processi in esecuzione sull’host, cercando comportamenti anomali o processi sospetti, come malware nascosti o software malevoli (PUP o PUA) che tentano di eseguire comandi non autorizzati.
- HIDS kernel based: monitora le interazioni dirette con il kernel del sistema operativo, cercando tentativi di compromissione a basso livello, come exploit che mirano ad acquisire privilegi di amministrazione.
Alla luce di quanto descritto risulta chiaro come un HIDS possa ottenere informazioni molto dettagliate su quanto sta accadendo sulla macchina su cui gira, riuscendo così ad individuare compromissioni che a livello di networking non sono individuabili. Un esempio sono i fileless-malwares o le reverse shell che utilizzano protocolli validi a livello di rete (HTTPS per lo più) per eseguire codice arbitrario sulle macchine che attaccano. In questo caso un NIDS rileverebbe un traffico “valido” ma un HIDS potrebbe rendersi conto che il sistema sta eseguendo qualcosa che esula dal consentito. Questa caratteristica rende un HIDS una valida arma contro attacchi anche molto sofisticati o zero-day in quanto individua il comportamento errato basandosi su ciò che il sistema dovrebbe fare e non su ciò che il sistema comunica all’esterno. Questa sua forza è anche una debolezza in quanto un HIDS è per lo più “individualista”: agisce su un unico sistema e conosce solo sé stesso rendendo molto complesso il suo utilizzo su reti vaste o contro attacchi distribuiti quali ad esempio alcune tipologie di BotNet. Inoltre, essendo un sistema di rilevazione passivo “isolato” è vulnerabile alle compromissioni del proprio motore.
Tecniche di elusione dei sistemi HIDS
Esistono numerose tecniche di elusione dei sistemi HIDS che, in alcuni estremi casi, trasformano lo stesso sistema di analisi in un sistema di spionaggio dell’attività della macchina.
Storicamente il problema più grosso riscontrato nell’utilizzo di sistemi IDS è stata la loro passività. Più le velocità di comunicazione aumentavano, più dati passavano all’interno dei canali di comunicazione, rendendo così molto complesso l’intervento umano tempestivo nella mitigazione della minaccia riscontrata. In parole povere la mole di segnalazioni è talmente alta che l’essere umano non riesce a stare al passo con tale flusso nella fase di mitigazione o rimedio. Per cercare di risolvere il problema sono stati realizzati i primi sistemi IPS.
Cos’è e come funziona un Intrusion Prevention System
Un IPS (Intrusion Prevention System), come suggerisce il nome, è progettato per prevenire le intrusioni, aggiungendo alle funzionalità tipiche degli IDS il fattore attivo, rendendolo così in grado di intervenire automaticamente per bloccare attacchi in corso. Può interrompere il traffico sospetto, applicare regole di blocco o isolare un dispositivo compromesso per mitigare la minaccia.
Come possiamo facilmente immaginare le due principali tipologie di IPS sono i NIPS (Network Intrusion Prevention System) e gli HIPS (Host Intrusion Prevention System). Nella sostanza l’IPS utilizza gli stessi metodi di rilevamento dell’IDS, basandosi quindi su firme e anomalie, aggiungendo però la capacità di agire in tempo reale per fermare le minacce. Può quindi bloccare del traffico anomalo o sospetto, modificare i firewall e i sistemi di protezione della rete aggiungendo o modificando regole in base ai rilevamenti fino ad isolare completamente dalla rete un sistema compromesso, il tutto senza l’intervento dell’essere umano. Risulta quindi chiaro che questa capacità è estremamente potente ma anche molto pericolosa. Immaginiamo un falso positivo su un IPS; il sistema inizia a difendersi da un qualcosa di legittimo, bloccando così l’operatività della macchina e di conseguenza del sistema di cui fa parte generando un disservizio. Per ovviare a tale problema è assolutamente necessario una costante attività di tuning e monitoraggio del comportamento degli IPS così da ridurre al minimo i falsi positivi.
IDS o IPS: quale scegliere?
Valutando quanto finora descritto risulta chiaro che la scelta tra IDS e IPS dipende fortemente dalle esigenze specifiche di un’organizzazione e dalle competenze IT presenti, nonché alla complessità generale del sistema e alla superfice d’attacco che lo stesso espone. Si preferisce scegliere gli IDS quando si desidera un monitoraggio passivo, con la possibilità di analizzare e rispondere manualmente alle minacce. È ideale per ambienti in cui gli attacchi sono rari e si preferisce evitare interruzioni automatiche del traffico. Un IPS invece è più adatto a contesti in cui è necessaria una risposta immediata e automatica agli attacchi. È essenziale in ambienti ad alta sicurezza o con un traffico costantemente a rischio, dove le minacce devono essere bloccate senza ritardi.
L’integrazione di IDS e IPS
Molte organizzazioni scelgono di implementare entrambi i sistemi per ottenere il meglio da entrambe le tecnologie. L’IDS offre visibilità e capacità di analisi approfondita, mentre l’IPS fornisce una protezione attiva e immediata. L’integrazione di IDS e IPS crea una difesa a strati che può migliorare significativamente la sicurezza di una rete. Inoltre, molti sistemi moderni combinano funzionalità di IDS e IPS in un’unica soluzione, nota come Next-Generation IDS/IPS (NGIPS), che sfrutta l’intelligenza artificiale e il machine learning per rilevare e rispondere in modo più efficace alle minacce, adattandosi alle nuove tecniche di attacco. Questi ultimi vengono sempre più spesso inseriti all’interno di tecnologie di End Point Protection evolute dando al sistema la capacità di rispondere autonomamente anche agli attacchi più sofisticati. Gli IDS e IPS sono strumenti cruciali nella sicurezza delle reti moderne e, sebbene abbiano approcci differenti (monitoraggio passivo vs prevenzione attiva), entrambi giocano un ruolo fondamentale nella protezione contro le intrusioni. Una corretta configurazione e integrazione di questi sistemi può ridurre al minimo il rischio di attacchi, rendendo il sistema resiliente a minacce sempre più diffuse e avanzate. Facendo un paragone possiamo dire che un sistema NGIPS può diventare il sistema immunitario della nostra infrastruttura ma, va sempre ricordato che, anche lui può soffrire di sindrome autoimmune (falsi positivi), nel qual caso i disservizi che possono generarsi sono direttamente proporzionali alle dimensioni dell’infrastruttura su cui operano.
