Che cos’è un Intrusion Prevention System (IPS)?

Un sistema di prevenzione delle intrusioni IPS è una forma di sicurezza di rete che rileva e prevede le minacce identificate. Monitora costantemente la rete per rilevare possibili incidenti dannosi e acquisire informazioni in merito. Quindi l'IPS segnala questi eventi all'amministratore di sistema e adotta le misure preventive del caso, come la chiusura dei punti di accesso e la configurazione dei firewall, per impedire attacchi futuri. Le soluzioni IPS possono essere utilizzate anche per identificare problemi nelle politiche di sicurezza aziendali, per fungere da deterrente ed evitare che dipendenti e ospiti della rete violino le regole contenute nelle politiche.

Dato l'elevato numero di punti di accesso di una tipica rete aziendale, è essenziale disporre di un metodo per monitorare i segni di possibili violazioni, incidenti e minacce imminenti. Le moderne minacce alle reti sono sempre più sofisticate e possono infiltrarsi anche nelle soluzioni di sicurezza più solide.

Quando si considerano le soluzioni IPS, può capitare di imbattersi anche negli Intrusion Detection Systems (IDS). Prima di analizzare il funzionamento dei sistemi di prevenzione delle intrusioni, esaminiamo brevemente la differenza tra IPS e IDS.

La differenza principale tra IPS e IDS è l’azione che svolgono quando viene rilevato un potenziale incidente.

• I sistemi di prevenzione delle intrusioni controllano l'accesso a una rete IT e la proteggono da abusi e attacchi. Questi sistemi sono progettati per monitorare i dati sulle intrusioni e adottano le azioni necessarie per prevenire lo sviluppo di un attacco.
• I sistemi di rilevamento delle intrusioni non sono progettati per bloccare gli attacchi e si limitano a monitorare la rete e inviare avvisi agli amministratori di sistema se viene rilevata una potenziale minaccia.

I sistemi di prevenzione delle intrusioni funzionano sottoponendo a scansione tutto il traffico di rete. Un IPS è progettato per prevenire molteplici minacce diverse, come:

• Attacchi denial-of-service (DoS)
• Attacchi Distributed Denial of Service (DDoS)
• Vari tipi di exploit
• Worm
• Virus

L’IPS esegue un’ispezione approfondita in tempo reale di ogni pacchetto che viaggia attraverso la rete. Se vengono rilevati pacchetti dannosi o sospetti, l’IPS esegue una delle seguenti azioni:

• Chiude la sessione TCP vittima dell'attacco e blocca l’indirizzo IP o l’account utente di origine impedendogli l’accesso non autorizzato a ogni applicazione, host target o altra risorsa di rete.
• Riprogramma o riconfigura il firewall per prevenire un attacco simile in futuro.
• Rimuove o sostituisce eventuali contenuti dannosi che rimangono nella rete dopo un attacco. Questo avviene con il repackaging dei payload e la rimozione delle informazioni dell’intestazione e degli allegati infetti dai file o dai server di posta elettronica.

Un IPS di solito viene configurato per utilizzare vari approcci volti a proteggere la rete da accessi non autorizzati. Includono:

• Approccio basato sulla firma – Utilizza firme predefinite di minacce di rete ben note. Quando viene avviato un attacco corrispondente a una di queste firme oppure a uno di questi modelli, il sistema adotta la misura necessaria.
• Approccio basato sulle anomalie – Monitora la rete per rilevare eventuali comportamenti anomali o imprevisti. Se identifica un’anomalia, il sistema blocca immediatamente l’accesso all’host target.
• Approccio basato sulle politiche – Richiede agli amministratori di configurare politiche di sicurezza in base all'infrastruttura di rete e alle politiche di sicurezza dell’organizzazione. Quando si verifica un’attività che viola una politica di sicurezza, scatta un allarme che viene inviato agli amministratori di sistema.

Le soluzioni IPS offrono la prevenzione proattiva da alcuni degli exploit di rete oggi più tristemente noti. Se distribuita correttamente, una soluzione IPS evita le pesanti conseguenze causate da pacchetti dannosi o indesiderati e da attacchi brute force.

Il Next Generation Firewall (NGFW) di ForcePoint offre la prevenzione avanzata dalle intrusioni e il rilevamento per qualsiasi rete, consentendoti di rispondere alle minacce in pochi minuti, non ore, e di proteggere i dati più critici e gli asset delle applicazioni.