Cos'è il rilevamento delle intrusioni?
Il rilevamento delle intrusioni si occupa di notare tentativi non autorizzati di accedere a una rete di computer o al sistema informatico fisico. Il suo scopo è quello di rilevare eventuali minacce che possano consentire l'accesso a informazioni non autorizzate, influire negativamente sull'integrità dei dati o comportare una perdita di accesso all'interno di una rete. Di solito viene implementato attraverso l'uso di un sistema di rilevamento delle intrusioni (IDS) che rileva, registra e registra varie informazioni su altri che si collegano alla rete o accedono a un host fisico. Questi sistemi possono variare da soluzioni software che limitano semplicemente le informazioni sul traffico ai sistemi fisici che coinvolgono guardie di sicurezza, telecamere e sensori di movimento.
Esistono tre tipi principali di rilevamento delle intrusioni, inclusi metodi basati su rete, basati su host e fisici. I metodi basati sulla rete cercano di contrassegnare il traffico di rete sospetto e in genere utilizzano programmi che registrano il traffico e i pacchetti che fluiscono attraverso una rete. I metodi basati su host cercano possibili intrusioni su un sistema di computer fisicoTEM e verificare l'integrità dei file, identificare i rootkit, monitorare le politiche di sicurezza locale e analizzare i registri. I metodi fisici riguardano anche l'identificazione di problemi di sicurezza sui dispositivi fisici e usano controlli fisici, come persone, telecamere di sicurezza, firewall e sensori di movimento. In molti affari con dati riservati e sistemi critici, una combinazione di questi metodi è auspicabile per la migliore sicurezza possibile.
I sistemi di rilevamento delle intrusioni di solito non impediscono che si verifichino intrusioni; Invece, registrano semplicemente eventi che si verificano in modo che gli altri possano raccogliere e analizzare le informazioni. Sebbene ciò sia particolarmente vero per i metodi di rilevamento delle intrusioni basate sulla rete e basati su host, ciò potrebbe non essere vero per alcuni metodi fisici, come i firewall e il personale di sicurezza. I firewall spesso forniscono la possibilità di bloccare il traffico sospetto e possono imparare ciò che è e non è consentito l'accesso. Anche personale di sicurezzapuò impedire alle persone di entrare fisicamente in un'azienda o un data center e le trappole monitorate e i sistemi di controllo degli accessi sono altri metodi fisici che possono impedire a qualcuno di entrare.
I limiti dei sistemi di rilevamento delle intrusioni significano che molte organizzazioni usano anche un sistema di prevenzione delle intrusioni (IPS) per agire quando si verifica un'attività sospetta. Molti di questi sistemi includono le funzioni di un sistema di rilevamento delle intrusioni e forniscono un sistema di sicurezza più completo che è utile quando si risponde alle violazioni della sicurezza è fondamentale. Quando l'IPS rileva violazioni sospette del traffico o delle politiche, intraprende l'azione configurata nelle sue politiche. Informazioni sulla sicurezza dei dipendenti o degli amministratori di sistema di solito configurano le politiche che l'IPS utilizza per rispondere a ciascun evento.