We couldn't find a match for given <KEYWORD>, please try again.

Che cos'è un sistema di prevenzione delle intrusioni?

Un sistema di prevenzione delle intrusioni (IPS) è uno strumento di sicurezza della rete che monitora continuamente una rete per rilevare attività malevole e, quando le trova, interviene per prevenirle segnalandole, bloccandole o eliminandole. Può essere un dispositivo hardware o un software.

È più avanzato di un sistema di rilevamento delle intrusioni (IDS), che rileva semplicemente un'attività malevola ma non può agire contro di essa se non avvisando un amministratore. I sistemi di prevenzione delle intrusioni sono talvolta inclusi come parte di un firewall di nuova generazione (NGFW) o di una soluzione di gestione unificata delle minacce (UTM). Come molte tecnologie di sicurezza della rete, devono essere sufficientemente potenti da scansionare un volume elevato di traffico senza rallentare le prestazioni della rete.

Panoramica della soluzione VMware NSX Distributed IDS/IPS

Firewall distribuito

Come funziona un sistema di prevenzione delle intrusioni?

Un sistema di prevenzione delle intrusioni è posizionato in linea, nel flusso del traffico di rete tra la sorgente e la destinazione e di solito si trova proprio dietro il firewall. Esistono diverse tecniche che i sistemi di prevenzione delle intrusioni utilizzano per identificare le minacce:

  • In base alla firma: questo metodo abbina l'attività alle firme di minacce note. Uno svantaggio di questo metodo è che può fermare solo gli attacchi identificati in precedenza e non è in grado di riconoscere quelli nuovi.
  • In base alle anomalie: questo metodo monitora il comportamento anomalo confrontando campioni casuali di attività di rete con uno standard di riferimento. È più robusto del monitoraggio basato sulle firme, ma a volte può produrre falsi positivi. Alcuni sistemi di prevenzione delle intrusioni più recenti e più avanzati utilizzano l'intelligenza artificiale e la tecnologia di apprendimento automatico per supportare il monitoraggio basato sulle anomalie.
  • In base alle policy: questo metodo è un po' meno comune del monitoraggio basato sulle firme o sulle anomalie. Utilizza le policy di sicurezza definite dall'azienda e blocca le attività che le violano. Ciò richiede che un amministratore imposti e configuri le policy di sicurezza.

Una volta che l'IPS rileva un'attività malevola, può intraprendere molte azioni automatiche, tra cui avvisare gli amministratori, eliminare i pacchetti, bloccare il traffico dall'indirizzo di origine o ripristinare la connessione. Alcuni sistemi di prevenzione delle intrusioni utilizzano anche un "honeypot", ovvero un'esca di dati di alto valore, per attirare gli aggressori e impedire loro di raggiungere i loro obiettivi.

Tipi di sistemi di prevenzione delle intrusioni

Esistono diversi tipi di IPS, ognuno con uno scopo leggermente diverso:

  • Sistema di prevenzione delle intrusioni nella rete (NIPS): questo tipo di IPS viene installato solo in punti strategici per monitorare tutto il traffico di rete e scansionare proattivamente le minacce.
  • Sistema di prevenzione delle intrusioni nell'host (HIPS): a differenza di un NIPS, un HIPS viene installato su un endpoint (come un PC) ed esamina solo il traffico in entrata e in uscita da quella macchina. Funziona meglio in combinazione con un NIPS, in quanto serve come ultima linea di difesa per le minacce che hanno superato il NIPS.
  • Analisi del comportamento della rete (NBA): analizza il traffico di rete per rilevare flussi di traffico insoliti, come gli attacchi DDoS (Distributed Denial of Service).
  • Sistema di prevenzione delle intrusioni wireless (WIPS): questo tipo di IPS si limita a scansionare una rete Wi-Fi alla ricerca di accessi non autorizzati e a cacciare i dispositivi non autorizzati dalla rete.

Quali sono i vantaggi di un sistema di prevenzione delle intrusioni?

Un sistema di prevenzione delle intrusioni offre molti vantaggi:

  • Maggiore sicurezza: un IPS lavora in tandem con altre soluzioni di sicurezza e può identificare le minacce che le altre soluzioni non possono identificare. Questo vale soprattutto per i sistemi che utilizzano il rilevamento basato sulle anomalie. Inoltre, offre una sicurezza delle applicazioni superiore grazie a un elevato livello di riconoscimento delle applicazioni.
  • Maggiore efficienza per altri controlli di sicurezza: poiché un IPS filtra il traffico malevolo prima che raggiunga altri dispositivi e controlli di sicurezza, riduce il carico di lavoro di tali controlli e consente loro di operare in modo più efficiente.
  • Risparmi di tempo: poiché un IPS è in gran parte automatizzato, richiede un minore investimento di tempo da parte dei team IT.
  • Compliance: un IPS soddisfa molti dei requisiti di conformità stabiliti da PCI DSS, HIPAA e altri. Inoltre, fornisce preziosi dati di auditing.
  • Personalizzazione: un IPS può essere impostato con policy di sicurezza personalizzate per fornire controlli di sicurezza specifici all'azienda che lo utilizza.

Perché un sistema di prevenzione delle intrusioni è importante?

Ci sono diversi motivi per cui un IPS è una parte fondamentale di qualsiasi sistema di sicurezza aziendale. Una rete multi-cloud ha molti punti di accesso e gestisce un elevato volume di traffico, rendendo il monitoraggio e la risposta manuali un'opzione poco realistica. Questo è particolarmente vero quando si tratta di sicurezza del cloud, dove un ambiente altamente connesso può significare una superficie di attacco estesa e quindi una maggiore vulnerabilità alle minacce. Inoltre, le minacce che i sistemi di sicurezza aziendale devono affrontare sono sempre più numerose e sofisticate. Le funzionalità automatizzate di un IPS sono fondamentali in questa situazione, in quanto consentono all'azienda di rispondere rapidamente alle minacce senza gravare sui team IT. Come parte dell'infrastruttura di sicurezza di un'azienda, un IPS è un modo cruciale per aiutare a prevenire alcuni degli attacchi più gravi e sofisticati.

Come si inserisce un sistema di prevenzione delle intrusioni nella mia infrastruttura di sicurezza esistente?

È importante ricordare che un IPS è solo una parte di una solida soluzione di sicurezza e deve funzionare insieme ad altre tecnologie per ottenere la massima efficacia. In realtà, i sistemi di prevenzione delle intrusioni sono spesso offerti come una funzionalità di una soluzione di gestione unificata delle minacce o di una soluzione firewall di nuova generazione, sebbene possano anche essere prodotti standalone. In una tipica architettura di sicurezza, l'IPS di solito si trova dietro il firewall e funziona insieme a esso per fornire un ulteriore livello di sicurezza e rilevare minacce che il firewall non è in grado di riconoscere da solo. Un IPS aiuta anche a proteggere altri controlli di sicurezza da un attacco, oltre a migliorare le prestazioni di tali controlli escludendo il traffico dannoso prima che li raggiunga. Ma l'aspetto decisamente più importante è che un IPS fornisce un ulteriore layer di sicurezza identificando ed escludendo minacce che altre parti dell'infrastruttura di sicurezza non sono in grado di rilevare.

Soluzioni e prodotti correlati

NSX Advanced Threat Prevention

Analisi del traffico di rete e prevenzione delle intrusioni per NSX Distributed Firewall