Che cosa è un sistema di rilevamento delle intrusioni (IDS)?
Un sistema di rilevamento delle intrusioni (IDS) monitora il traffico di rete alla ricerca di attività sospette e minacce note e emette avvisi quando tali attività vengono scoperte.
Essenzialmente, un IDS è uno sniffer di pacchetti che rileva anomalie nei pacchetti di dati che viaggiano lungo vari canali. Il loro ruolo è quello di:
- Sistemi di monitoraggio. Valutare e valutare router, firewall, server di gestione delle chiavi e file, al fine di affrontare attacchi informatici.
- Registri di sistema di ricerca. Visualizza le tracce di controllo del sistema operativo e altri registri per ottimizzare i sistemi per una migliore protezione.
- Identificare la progettazione di attacchi tipici. Abbina i database delle firme degli attacchi con le informazioni del sistema.
Tipi di sistemi di rilevamento delle intrusioni
Un sistema di rilevamento delle intrusioni è ampiamente classificato in base a dove sono posizionati i sensori IDS: rete o host.
Sistema di rilevamento delle intrusioni di rete
Un sistema di rilevamento delle intrusioni basato su rete (NIDS) monitora e analizza il traffico di rete per comportamenti sospetti e minacce reali con l’aiuto di sensori NIDS. Esamina il contenuto e le informazioni di intestazione di tutti i pacchetti in movimento attraverso la rete.
I sensori NIDS sono posizionati in punti cruciali della rete per ispezionare il traffico da tutti i dispositivi della rete. Ad esempio, i sensori NIDS sono installati sulla sottorete in cui si trovano i firewall per rilevare Denial of Service (DoS) e altri attacchi di questo tipo.
Host Intrusion Detection System
Un host-based intrusion detection system (HIDS) monitora e analizza la configurazione del sistema e l’attività delle applicazioni per i dispositivi in esecuzione sulla rete aziendale. I sensori HIDS possono essere installati su qualsiasi dispositivo, indipendentemente dal fatto che si tratti di un PC desktop o di un server.
I sensori HIDS acquisiscono essenzialmente un’istantanea dei file di sistema esistenti e li confrontano con le istantanee precedenti. Cercano modifiche impreviste, come la sovrascrittura, l’eliminazione e l’accesso a determinate porte. Di conseguenza, gli avvisi vengono inviati agli amministratori per indagare su attività che sembrano incerte.
Sono uno strumento altamente efficace contro le minacce interne. Gli HID possono identificare le modifiche ai permessi dei file e le richieste client-server insolite, che generalmente tendono ad essere un intruglio perfetto per gli attacchi interni. Ecco perché non dovrebbe sorprendere che HIDS sia spesso utilizzato per macchine mission-critical che non dovrebbero cambiare.
NIDS vs. HIDS: qual è la differenza?
Ognuno di questi sistemi di rilevamento delle intrusioni sono dotati di propri punti di forza. NIDS funziona in tempo reale, il che significa che tiene traccia dei dati in tempo reale e bandiere problemi come accadono. D’altra parte, HIDS esamina i dati storici per catturare hacker esperti che utilizzano metodi non convenzionali che potrebbero essere difficili da rilevare in tempo reale.
Lo scenario ideale è incorporare sia HID che NID poiché si completano a vicenda. NIDS offre tempi di risposta più rapidi, mentre HIDS può identificare i pacchetti di dati dannosi che provengono dall’interno della rete aziendale.
Guarda il video qui sotto per saperne di più sulla differenza tra NIDS e HIDS.