Intrusion Prevention System: che cos’è e come funziona

Tanti sono ormai gli strumenti a disposizione delle aziende,che desiderano aumentare il livello di sicurezza della propria infrastruttura informatica aziendale e difendersi in maniera preventiva da possibili minacce. Tra questi, ricopre un ruolo importante l’Intrusion Prevention System, abbreviato in IPS, un sistema di prevenzione delle intrusioni che introduce azioni proattive di contenimento ed eliminazione in caso di minacce. Il sistema diventa parte integrante di una strategia di sicurezza aziendale efficace, funzionando in sinergia con altre tecnologie, in particolare con il firewall. Offrire infatti un sistema di prevenzione delle intrusioni unito ad una soluzione firewall di nuova generazione, o NGFW - Next Generation Firewall rappresenta la chiave per ottenere livelli di sicurezza sempre più ampi ed efficaci.

Che cos’è un Intrusion Prevention System

Un Intrusion Prevention System, o IPS, è una tecnologia di sicurezza della rete, che monitora costantemente il traffico di rete al fine di rilevare attività sospette e avviare tutte quelle misure di prevenzione, qualora si verifichi l’intrusione. Le azioni, su cui si basa l’Intrusion Prevention System, sono in gran parte automatizzate e hanno lo scopo di filtrare attività dannose prima che raggiungano altri dispositivi o controlli di sicurezza, riducendo efficacemente l’intervento manuale della squadra IT.

Qual è la differenza tra IPS e IDS

Il sistema di prevenzione delle intrusioni IPS è più avanzato ed efficace rispetto a un sistema di rilevamento delle intrusioni, detto IDS. Un sistema di rilevamento delle intrusioni IDS è un sistema passivo, che si limita a scansionare il traffico e a segnalare l’attività dannosa, avvisando un amministratore, ma non permette di agire contro la minaccia. Un sistema di prevenzione delle intrusioni IPS si basa, invece, sulla messa in atto delle azioni proattive di difesa e salvaguardia della rete, come bloccare il traffico dall'indirizzo di origine, ripristinare la connessione e configurare i firewallper prevenire attacchi futuri.

In che modo lavora: tipologie e metodi di rilevazione

Esistono quattro tipologie di Intrusion Prevention System, con obiettivi diversi rispetto al monitoraggio della minaccia:

1. il sistema di prevenzione delle intrusioni di rete, o NIPS, che viene installato solo in punti strategici, monitora tutto il traffico di rete e scansiona proattivamente le minacce;
2. il sistema di prevenzione delle intrusioni post, o HIPS, è installato su un endpoint ed esamina il traffico in entrata e in uscita solo da quella macchina. Funziona al meglio in combinazione con un NIPS;
3. l’analisi del comportamento di rete, o NBA, che è progettato per rilevare flussi di traffico insoliti;
4. il sistema di prevenzione delle intrusioni wireless, o WIPS, esegue semplicemente la scansione di una rete Wi-Fi e non permette l’accesso ai dispositivi non autorizzati.

L’Intrusion Prevention System deve funzionare in modo efficiente per evitare il degrado delle prestazioni della rete e puntare sulla velocità per rispondere con prontezza alla minaccia, senza rallentare le prestazioni della rete, nonostante il volume elevato di traffico.

Esistono diversi metodi di rilevazione delle intrusioni per identificare le minacce:

• il metodo signature-based abbina l'attività alle firme di minacce note, che si basano su un dizionario di modelli identificabili in modo univoco. Questo metodo è limitante perché può bloccare solo attacchi già in precedenza identificati e non sarà in grado di riconoscerne di nuovi;
• il metodo Anomaly-based monitora il comportamento anomalo confrontando campioni casuali di attività di rete rispetto a uno standard di riferimento. È sicuramente più efficace del primo metodo, ma potrebbe produrre dei falsi positivi. Quando il campione dell'attività del traffico di rete è al di fuori dei parametri delle prestazioni di base, nei sistemi più avanzati, il monitoraggio viene supportato dalla tecnologia di apprendimento automatico e di intelligenza artificiale, il cosiddetto machine learning;
• il metodo Policy-based è il metodo meno utilizzato e si basa sulle policy di sicurezza definite dall'azienda stessa, bloccando le attività che violano tali politiche. Il ruolo dell’amministratore è fondamentale nella configurazione della policy di sicurezza e dell'infrastruttura di rete.

Perché è importante un IPS e quale ruolo giocano nei NGFW

L’Intrusion Prevention System è parte integrante dell'infrastruttura di sicurezza delle aziende e offre un ampio ventaglio di vantaggi. Garantisce maggiore efficienza, in quanto il traffico dannoso è filtrato prima che possa raggiungere altri dispositivi e assicura un forte risparmio di tempo al team IT, a fronte di un sistema di sicurezza sempre più automatizzato. L’IPS soddisfa molti dei requisiti di conformità stabiliti da PCI DSS, HIPAA e non solo e inoltre è possibile configurare il sistema con criteri di sicurezza personalizzati.

Spesso i sistemi di prevenzione delle intrusioni sono inclusi come parte di un firewall di nuova generazione. In una efficiente infrastruttura di sicurezza, l’Intrusion Prevention System è posizionato in linea, direttamente nel flusso del traffico di rete tra l'origine e la destinazione, solitamente proprio dietro il firewall, con il quale lavora in sinergia continua. La coppia IPS - NGFW offre un ulteriore livello di sicurezza e filtra le minacce che il firewall, da solo, non sarebbe in grado di identificare e catturare. Proprio per garantire la massima efficienza, l’IPS è stato integrato, nella maggior parte dei casi, nei firewall di nuova generazione a livello aziendale.