In breve, un sistema di prevenzione delle intrusioni (IPS), noto anche sistema di rilevazione e prevenzione delle intrusioni (Intrusion Detection Prevention System, IDPS), è una tecnologia che tiene d’occhio una rete per rilevare la presenza di eventuali attività dannose che tentano di sfruttare una vulnerabilità nota.
La funzione principale di Intrusion Prevention Systemè identificare qualsiasi attività sospetta e rilevare e consentire (IDS) o prevenire (IPS) la minaccia. Il tentativo viene registrato e segnalato ai manager della rete o al personale del Security Operations Center (SOC).
Get a Personal Firewall Demo Benchmark di sicurezza Miercom 2024 NGFW
Le tecnologie IPS possono rilevare o prevenire gli attacchi alla sicurezza della rete, come gli attacchi brute force, gli attacchi Denial of Service (DoS) e gli exploit di vulnerabilità. Una vulnerabilità è una debolezza in un sistema software e un exploit è un attacco che sfrutta tale vulnerabilità per ottenere il controllo di un sistema. Quando viene annunciato un exploit, spesso c'è una finestra di opportunità per gli aggressori di sfruttare quella vulnerabilità prima che venga applicata la patch di sicurezza. In questi casi si può utilizzare un Intrusion Prevention System per bloccare rapidamente questi attacchi.
Poiché le tecnologie IPS controllano i flussi di pacchetti, possono anche essere utilizzate per imporre l’uso di protocolli sicuri e negare l’uso di protocolli non sicuri come le versioni precedenti di SSL o i protocolli che utilizzano crittografia debole.
Le tecnologie IPS hanno accesso ai pacchetti in cui vengono distribuite, sia come sistemi di rilevamento delle intrusioni di rete (Network Intrusion Detection System, NIDS) sia come sistemi di rilevamento delle intrusioni host (Host Intrusion Detection System, HIDS). L’IPS di rete ha una visione più ampia dell’intera rete e può essere distribuito online o offline nella rete come sensore passivo che riceve pacchetti da una porta TAP o SPAN di rete.
Il metodo di rilevamento impiegato può essere basato sulle firme o sulle anomalie. Le firme predefinite sono modelli di attacchi di rete noti. L'IPS confronta i flussi di pacchetti con la firma per vedere se c'è una corrispondenza di modello. I sistemi di rilevamento delle intrusioni basati sulle anomalie utilizzano l'euristica per identificare le minacce, ad esempio confrontando un campione di traffico con una linea di base nota.
Le prime implementazioni della tecnologia sono state distribuite in modalità di rilevamento su dispositivi di sicurezza dedicati. Poiché la tecnologia è maturata e si è trasferita in dispositivi integrati Next Generation Firewall o UTM, l'azione predefinita è impostata per impedire il traffico dannoso.
In alcuni casi, la decisione di rilevare e accettare o prevenire il traffico si basa sulla fiducia nella protezione IPS specifica. Quando c’è una minore fiducia in una protezione IPS, c’è una maggiore probabilità di falsi positivi. Un falso positivo si verifica quando l’IDS identifica un’attività come un attacco, ma l’attività è un comportamento accettabile. Per questo motivo, molte tecnologie IPS hanno anche la capacità di acquisire sequenze di pacchetti dall’evento di attacco. Queste possono quindi essere analizzate per determinare se vi è stata una minaccia effettiva e per migliorare ulteriormente la protezione IPS.