Perché dovrebbero essere utilizzati sistemi di prevenzione delle intrusioni?
Le tecnologie IPS possono rilevare o prevenire attacchi di sicurezza di rete come attacchi di forza bruta, attacchi Denial of Service (DoS) e exploit di vulnerabilità. Una vulnerabilità è una debolezza in un sistema software e un exploit è un attacco che sfrutta tale vulnerabilità per ottenere il controllo di un sistema., Quando viene annunciato un exploit, c’è spesso una finestra di opportunità per gli aggressori di sfruttare tale vulnerabilità prima che la patch di sicurezza viene applicata. Un sistema di prevenzione delle intrusioni può essere utilizzato in questi casi per bloccare rapidamente questi attacchi.
Poiché le tecnologie IPS controllano i flussi di pacchetti, possono anche essere utilizzate per imporre l’uso di protocolli sicuri e negare l’uso di protocolli non sicuri come versioni precedenti di SSL o protocolli che utilizzano cifrari deboli.
Come funzionano i sistemi di prevenzione delle intrusioni?,
Le tecnologie IPS hanno accesso ai pacchetti in cui vengono distribuite, sia come sistemi di rilevamento delle intrusioni di rete (NIDS), sia come sistemi di rilevamento delle intrusioni host (HIDS). Network IPS ha una visione più ampia dell’intera rete e può essere distribuito in linea nella rete o offline nella rete come sensore passivo che riceve pacchetti da una porta TAP o SPAN di rete.
Il metodo di rilevamento utilizzato può essere basato sulla firma o sull’anomalia. Le firme predefinite sono modelli di attacchi di rete ben noti. L’IPS confronta i flussi di pacchetti con la firma per vedere se c’è una corrispondenza del modello., I sistemi di rilevamento delle intrusioni basati su anomalie utilizzano euristiche per identificare le minacce, ad esempio confrontando un campione di traffico con una linea di base nota.
Qual è la differenza tra IDS e IPS?
Le prime implementazioni della tecnologia sono state implementate in modalità detect su appliance di sicurezza dedicate. Poiché la tecnologia è maturata e si è spostata in dispositivi Firewall o UTM integrati di nuova generazione, l’azione predefinita è impostata per prevenire il traffico dannoso.,
In alcuni casi, la decisione di rilevare e accettare o prevenire il traffico si basa sulla fiducia nella specifica protezione IPS. Quando c’è minore fiducia in una protezione IPS, allora c’è una maggiore probabilità di falsi positivi. Un falso positivo è quando l’ID identifica un’attività come un attacco, ma l’attività è un comportamento accettabile. Per questo motivo, molte tecnologie IPS hanno anche la capacità di catturare sequenze di pacchetti dall’evento di attacco. Questi possono quindi essere analizzati per determinare se c’era una minaccia reale e per migliorare ulteriormente la protezione IPS.