Gli IDS sono strumenti per la sicurezza informatica delle aziende, in grado di rilevare anche i cyber attacchi più sofisticati
IDS (Intrusion Detection System) è uno dei sistemi di protezione informatica più utilizzato dalla aziende, in grado di monitorare di continuo la sicurezza della Rete e dei computer allo scopo di individuare in anticipo eventuali cyber attacchi. In particolare, gli IDS si rivelano molto efficaci per quei virus che mirano a persistere il più a lungo possibile all’interno dei sistemi violati. È il caso ad esempio degli APT (Advanced Persistent Threat), ovvero degli attacchi informatici di alto livello che utilizzano tecniche di hacking molto sofisticate.
In sostanza, gli IDS sono composti da dei sensori (o sonde) posizionati nei punti critici della Rete allo scopo di rilevare possibili intrusioni. I sensori raccolgono le informazioni e le comunicano ad un server che solitamente si appoggia ad un database nel quale si trovano le regole per individuare le anomalie. Il database è spesso in cloud presso il fornitore del servizio IDS e gestito da un operatore. I sensori vengono di norma posizionati nei router o nei gateway, nei punti più esposti della Rete e dove si trovano dati sensibili, quali server interni e database aziendali. A seconda di dove sono stati messi i sensori i sistemi IDS sono suddivisi in due categorie: quelli basati sulla Rete, ovvero i NIDS (Network Intrusion Detection System) e quelli a protezione della macchina, gli HIDS (Host based intrusion detection system).
Gli IDS possono essere realizzati con appliance hardware oppure con appositi software, a volte sono la combinazione di entrambi i sistemi. Essi integrano i firewall, analizzando i pacchetti di dati e i comportamenti generati da quest’ultimi. Per questo motivo, là dove il firewall non è in grado di bloccare una minaccia, l’IDS può rivelarla e segnalarla all’amministratore di sistema. L’IDS è un sistema di rilevazione, quindi non è in grado di effettuare azioni correttive; spetta all’operatore individuare le opportune contromisure per bloccare l’attacco. Tuttavia, esiste anche un sistema che dopo aver individuato la presenza di un virus non si limita ad informare l’amministratore, ma attiva immediatamente delle azioni di protezione adeguate. In questo specifico caso si parla di IPS (Intrusion Prevention System), altro strumento molto utilizzato e integrabile con gli IDS.