Che cos'è il rilevamento delle intrusioni?
Il rilevamento delle intrusioni si occupa di rilevare tentativi non autorizzati di accedere a una rete di computer o a un sistema fisico. Il suo scopo è rilevare eventuali minacce che potrebbero consentire l'accesso a informazioni non autorizzate, influire negativamente sull'integrità dei dati o comportare una perdita di accesso all'interno di una rete. Di solito è implementato attraverso l'uso di un sistema di rilevamento delle intrusioni (IDS) che rileva, registra e registra varie informazioni su altri che si connettono alla rete o accedono a un host fisico. Questi sistemi possono variare da soluzioni software che registrano semplicemente le informazioni sul traffico a sistemi fisici che coinvolgono guardie di sicurezza, telecamere e sensori di movimento.
Esistono tre tipi principali di rilevamento delle intrusioni, inclusi i metodi basati su rete, basati su host e fisici. I metodi basati sulla rete cercano di contrassegnare il traffico di rete sospetto e in genere utilizzano programmi che registrano il traffico e i pacchetti che fluiscono attraverso una rete. I metodi basati su host cercano possibili intrusioni su un sistema fisico e controllano l'integrità dei file, identificano i rootkit, monitorano le politiche di sicurezza locali e analizzano i log. I metodi fisici si occupano anche dell'identificazione dei problemi di sicurezza sui dispositivi fisici e utilizzano i controlli fisici, come persone, telecamere di sicurezza, firewall e sensori di movimento. In molte aziende con dati riservati e sistemi critici, è auspicabile una combinazione di questi metodi per la migliore sicurezza possibile.
I sistemi di rilevamento delle intrusioni di solito non impediscono che si verifichino intrusioni; invece, registrano semplicemente gli eventi che si verificano in modo che altri possano raccogliere e analizzare le informazioni. Sebbene ciò sia particolarmente vero per i metodi di rilevamento delle intrusioni basati su rete e basati su host, ciò potrebbe non essere vero per alcuni metodi fisici, quali firewall e personale di sicurezza. I firewall offrono spesso la possibilità di bloccare il traffico sospetto e possono apprendere ciò che è e non è consentito l'accesso. Il personale addetto alla sicurezza può anche impedire alle persone di irrompere fisicamente in una società o in un data center e trappole monitorate e sistemi di controllo degli accessi sono altri metodi fisici che possono impedire a qualcuno di entrare.
Le limitazioni dei sistemi di rilevamento delle intrusioni fanno sì che molte organizzazioni utilizzino anche un sistema di prevenzione delle intrusioni (IPS) per agire in caso di attività sospette. Molti di questi sistemi includono le funzioni di un sistema di rilevamento delle intrusioni e forniscono un sistema di sicurezza più completo che è utile quando è fondamentale rispondere alle violazioni della sicurezza. Quando l'IPS rileva traffico sospetto o violazioni dei criteri, esegue l'azione configurata nei suoi criteri. I dipendenti della sicurezza delle informazioni o gli amministratori di sistema di solito configurano i criteri utilizzati da IPS per rispondere a ciascun evento.