Intrusion Detection and Prevention Systems (IDPS) operano monitorando il traffico di rete, analizzandolo e fornendo tattiche di bonifica quando viene rilevato un comportamento dannoso. Cercano comportamenti o caratteristiche corrispondenti che indichino traffico dannoso, inviano avvisi e bloccano gli attacchi.
Avere sia le capacità di rilevamento che di prevenzione sono vitali per un’efficace infrastruttura di sicurezza., Il rilevamento identifica solo i comportamenti dannosi, ma non interviene per bloccare o prevenire gli attacchi quando ne viene rilevato uno. Registrerà esclusivamente questi avvisi. I sistemi di prevenzione possono regolare le regole del firewall al volo per bloccare o eliminare il traffico dannoso quando viene rilevato, ma non hanno le solide capacità di identificazione dei sistemi di rilevamento.
Gli strumenti IDPS possono rilevare malware, attacchi progettati socialmente e altre minacce basate sul Web, inclusi gli attacchi DDoS. Possono anche fornire funzionalità di prevenzione delle intrusioni preventive per minacce interne e sistemi potenzialmente compromessi.,
Tenere a mente durante la revisione della nostra lista dei migliori strumenti software IDPS che potrebbe non essere necessario acquistarli come prodotti standalone. Essi possono anche essere inclusi con altri strumenti di sicurezza, come i firewall di nuova generazione (NGFW), e possono andare con altri nomi, come la prevenzione delle minacce.,td>Signature based
McAfee NSP
McAfee Network Security Platform (NSP) è una nuova generazione di rilevamento e prevenzione delle intrusioni soluzione che protegge i sistemi e dati, ovunque essi siano, nei data center, cloud e ibridi ambienti enterprise., McAfee è stato a lungo uno dei più grandi nomi della sicurezza informatica e ha dimostrato perché con questo prodotto IDPS completo.
Può supportare fino a 32 milioni di connessioni su una singola appliance e utilizza l’intelligence per individuare e bloccare sofisticate minacce malware e attacchi mirati avanzati su una rete. Offre analisi bot intelligenti, monitoraggio delle applicazioni endpoint migliorato, analisi dei dati di flusso, profili DoS di autoapprendimento e una funzione di analisi per identificare gli host potenzialmente dannosi.,
Gli utenti apprezzano McAfee NSP per la sua flessibilità, l’architettura completa e la semplice operatività. Quando si tratta di hardware, NSP può soddisfare l’intera gamma di esigenze dei clienti con i suoi quattro modelli di sensori.
Trend Micro TippingPoint
Trend Micro TippingPoint identifica e blocca il traffico dannoso, impedisce il movimento laterale del malware, garantisce la disponibilità e la resilienza della rete e migliora le prestazioni della rete. Può essere distribuito nella rete senza indirizzo IP o MAC per filtrare immediatamente il traffico dannoso e indesiderato., I filtri di sicurezza Digital Vaccine threat intelligence coprono l’intero footprint delle vulnerabilità, non solo exploit specifici. La soluzione offre un throughput di ispezione del traffico di rete fino a 120 Gbps.
TippingPoint utilizza una combinazione di tecnologie, come deep packet inspection e threat reputation, per adottare un approccio proattivo alla sicurezza della rete. La sua analisi approfondita del traffico garantisce un’elevata precisione del rilevamento delle minacce e fornisce consapevolezza contestuale per fornire ai team di sicurezza una migliore comprensione di come porre rimedio a una minaccia., Le soluzioni TippingPoint sono fornite come piattaforme hardware o virtuali e forniscono protezione delle vulnerabilità in tempo reale attraverso l’intelligence automatizzata sulle minacce dei vaccini.
Darktrace Enterprise Immune System
Il Darktrace Enterprise Immune System è la tecnologia di apprendimento automatico e intelligenza artificiale (AI) per la difesa informatica. È all’altezza del suo nome modellando la sua funzionalità dopo il sistema immunitario umano. Apprende iterativamente un “modello di vita” unico per ogni dispositivo e utente su una rete e mette in correlazione queste informazioni per individuare minacce emergenti che altrimenti passerebbero inosservate.,
Darktrace Enterprise Immune System può anche implementare sforzi di prevenzione automatica per dare ai team di sicurezza tempo prezioso per combattere. Questo sistema è in grado di rilevare le minacce in ambienti cloud, reti aziendali e sistemi di controllo industriale. Il pluripremiato Threat visualizer di Darktrace offre una visibilità olistica sull’infrastruttura di sicurezza della rete e una completa supervisione degli avvisi e delle azioni dell’IA.
Darktrace non si considera una soluzione IPS o IDPS, e Gartner concorda sul fatto che la società non si adatta a quella categoria., Tuttavia, la società di analisi chiamato un fornitore di guardare in questa zona del mercato. Questo prodotto IDPS è disponibile come appliance software e hardware.
Cisco Firepower NGIPS
Il sistema di prevenzione delle intrusioni di nuova generazione di Cisco è disponibile in software e appliance fisiche e virtuali per piccole filiali fino a grandi imprese, offrendo un throughput da 50 Mbps fino a 60 Mbps. NGIPS offre intelligence sulla sicurezza basata su URL, integrazione della griglia delle minacce AMP ed è supportata dal team di ricerca sulla sicurezza Talos dell’azienda.,
Il Firepower Management Center fornisce dati contestuali sulle minacce per aiutare i team a identificare il tipo di minaccia che stanno affrontando e aiuta a trovare la causa principale del problema. Cisco aggiorna la potenza di fuoco con nuove firme ogni due ore, assicurando che il sistema sia in grado di rilevare le minacce più recenti e più avanzate.
Gartner ha classificato Cisco Firepower NGIPS come leader Magic Quadrant per sette anni consecutivi e l’organizzazione indipendente di test NSS Labs l’ha considerata una soluzione IPS “raccomandata” negli ultimi otto anni.,
AT&T Cybersecurity USM
AT& T Cybersecurity Unified Security Management (USM) – precedentemente AlienVault – offre rilevamento delle minacce, risposta agli incidenti e gestione della conformità in un’unica piattaforma unificata. Integra cinque componenti essenziali di una soluzione di sicurezza completa: Asset discovery, vulnerability assessment, intrusion detection, behavioral monitoring e SIEM log management.,
L’intelligence sulle minacce continuamente aggiornata da AlienVault Labs e AlienVault Open Threat Exchange mantiene il sistema aggiornato su attori, minacce, strumenti e metodi dannosi. Fornisce anche un contesto sugli ultimi allarmi e vulnerabilità per risparmiare ai team il tempo di fare la ricerca da soli. Il suo sistema di allarme classifica le minacce in base al livello di rischio per aiutare i team di sicurezza a dare priorità alle risposte.,
Le sue robuste funzionalità di ricerca e filtraggio consentono ai team di isolare allarmi o eventi di interesse in modo da poter scavare nei dettagli delle informazioni sulle minacce, sugli eventi correlati e sulle raccomandazioni per le risposte agli incidenti. C’è anche una lunga lista di opzioni di risposta agli incidenti che possono essere lanciati direttamente dalla console.
AlienVault USM può essere distribuito in ambienti on-premise e cloud.
Palo Alto Networks
Palo Alto Networks è probabilmente più famoso per i suoi potenti firewall di nuova generazione., Il prodotto di prevenzione delle minacce di Palo Alto Networks è stato sviluppato per accelerare le capacità del loro NGFW attraverso la scansione intelligente e la prevenzione. Ha lo scopo di prevenire attacchi informatici di successo attraverso l’automazione.
Threat Prevention può ispezionare tutto il traffico con il contesto utente completo, prevenendo automaticamente le minacce note, indipendentemente dalla porta, dal protocollo o dalla crittografia SSL. La sua threat intelligence viene aggiornata automaticamente ogni giorno, consegnata al NGFW e implementata da Threat Prevention per fermare tutte le minacce.,
Palo Alto Networks ha anche fatto uno sforzo per garantire prestazioni impressionanti costanti. La sua architettura a passaggio singolo e la gestione delle policy forniscono il rilevamento e la prevenzione delle minacce complete senza sacrificare le prestazioni.
NSFocus NGIPS
Il NSFocus Next-Generation Intrusion Prevention System (NGIPS) fornisce una protezione dalle minacce che blocca le intrusioni, previene le violazioni e salvaguarda le risorse., Utilizza un approccio multistrato per identificare e affrontare le minacce persistenti note, zero-day e avanzate per proteggere da malware, worm, spyware, trojan backdoor, perdite di dati, cracking di forza bruta, attacchi di protocollo, scansione/sondaggio e minacce web.
Supporta la capacità di elaborazione fino a 20 Gbps di dati a livello di applicazione. Lo strumento di sandboxing virtuale NSFocus può identificare, valutare e mitigare le minacce persistenti note e avanzate.
NSFocus NGIPS è disponibile sia come macchine fisiche che virtuali.,
Blumira Automated Detection& Response
Blumira Automated Detection & Response platform consente alle organizzazioni di difendersi in modo più efficiente dalle minacce alla sicurezza informatica in tempo quasi reale. È progettato per ridurre il rumore degli avvisi falsi positivi e focalizzare l’attenzione solo sul vero comportamento dannoso per alleviare l’onere dell’affaticamento degli avvisi.
Oltre a identificare le minacce, la risposta automatica alle minacce di Blumira funziona quasi in tempo reale per bloccare le minacce interne ed esterne., Il sistema include anche playbook passo-passo per guidare gli sforzi di bonifica. La dashboard di gestione fornisce ulteriori informazioni sulle minacce nel tempo, analisi aperte e minacce sospette.
Blumira è una piattaforma completamente cloud-consegnato in modo che possa essere facilmente e rapidamente distribuito. Inoltre, grazie alla robusta orchestrazione e automazione della sicurezza integrata in questo IDP, può essere gestito da team di qualsiasi dimensione.,
Funzioni primarie del sistema di rilevamento e prevenzione delle intrusioni
Le funzioni primarie delle soluzioni IDPS possono essere suddivise in quattro categorie principali:
- Monitoraggio: IDPS monitora i sistemi IT utilizzando il rilevamento delle intrusioni basato su firma o anomalia per identificare comportamenti anomali e attività dannose per la firma.
- Avvisi: dopo aver identificato potenziali minacce, il software IDPS registrerà e invierà notifiche di avviso per informare gli amministratori di attività anomale.,
- Remediation: gli strumenti IDPS forniscono meccanismi di blocco per le minacce dannose, dando agli amministratori il tempo di agire. In alcuni casi, ai team IT potrebbe non essere richiesto di agire dopo che un attacco è stato bloccato.
- Manutenzione: oltre al monitoraggio di comportamenti anomali, gli strumenti IDPS possono anche monitorare le prestazioni dell’hardware IT e dei componenti di sicurezza con controlli di integrità. Ciò garantisce che un’infrastruttura di sicurezza funzioni correttamente in ogni momento.
Sistemi di rilevamento delle intrusioni (IDS) vs., Intrusion prevention systems (IPS)
Come accennato in precedenza, uno strumento IDPS veramente olistico richiede sia capacità di rilevamento che di prevenzione. Durante la ricerca di soluzioni, è probabile imbattersi in entrambi i sistemi di rilevamento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS). Si tratta di prodotti standalone e non devono essere confusi con IDP, che vi aiuterà a evitare grandi buchi nella vostra infrastruttura di sicurezza.
Gli strumenti IDS sono progettati solo per rilevare attività dannose e registrare e inviare avvisi. Non sono in grado di prevenire un attacco., Gli avvisi che sollevano richiedono sempre l’intervento umano.
IPS, d’altra parte, risponde in base a criteri predeterminati di tipi di attacchi bloccando il traffico e rilasciando processi dannosi. Sfortunatamente, gli strumenti IPS portano a più falsi positivi in quanto hanno capacità di rilevamento inferiori rispetto agli ID.
Le soluzioni IDPS incorporano i punti di forza di entrambi i sistemi in un unico prodotto o suite di prodotti.
Tipi di IDP
I tipi di IDP possono essere classificati in base a ciò che sono progettati per proteggere., Generalmente rientrano in due tipi: basato su host e basato sulla rete.
IDP basati su host
IDP basati su host è un software distribuito sull’host che monitora esclusivamente il traffico per connettersi a e da tale host. In genere protegge solo un singolo endpoint specifico. In alcuni casi, può anche monitorare i file di sistema memorizzati sull’host per le modifiche non autorizzate e processi in esecuzione sul sistema.,
IDP basati sulla rete
Gli IDP basati sulla rete, talvolta chiamati anche Network Intrusion Detection Systems (NIDS), vengono distribuiti in un luogo in cui è possibile monitorare il traffico per un intero segmento di rete o sottorete. La loro funzionalità assomiglia in qualche modo ai firewall, che sono solo in grado di prevenire le intrusioni provenienti dall’esterno della rete e applicare gli elenchi di controllo degli accessi (ACL) tra le reti.
I NID sono progettati per rilevare e avvisare il potenziale traffico interno dannoso che si muove lateralmente in una rete; questo lo rende un ottimo strumento per un framework di sicurezza zero trust., Il traffico viene analizzato per segni di comportamento dannoso in base ai profili di tipi comuni di attacchi.
Metodologie di rilevamento delle intrusioni
Questi sistemi identificano potenziali minacce in base a regole e profili integrati. Le più comuni sono le metodologie di rilevamento basate sulla firma e sulle anomalie.
Signature-based intrusion detection
Signature-based intrusion detection cerca istanze di attacchi noti. Quando il contenuto dannoso viene identificato, viene analizzato per le caratteristiche uniche per creare un’impronta digitale, o firma, per quell’attacco specifico., Questa firma potrebbe essere sotto forma di un’identità nota o di un modello di comportamento. I sistemi basati sulla firma confrontano quindi questa impronta digitale con un database di firme preesistenti per identificare il tipo specifico di attacco. L’aspetto negativo di questi sistemi è che devono essere aggiornati regolarmente per essere in grado di riconoscere nuovi e in evoluzione tipi di attacchi.
Rilevamento delle intrusioni basato su anomalie
Rilevamento delle intrusioni basato su anomalie crea un modello iniziale di comportamento “normale” per un sistema specifico piuttosto che creare impronte digitali., Il sistema confronterà quindi tutti i comportamenti in tempo reale con il modello normale creato in precedenza per identificare le anomalie comportamentali. Questi casi di comportamento anomalo vengono utilizzati per identificare potenziali attacchi e attivare avvisi.
Contrasto tra IDP basati su firma e IDP basati su anomalia
Ci sono problemi con entrambi questi sistemi individualmente. Il rilevamento basato sulla firma ha bassi falsi positivi ma può rilevare solo attacchi noti. Questo li rende vulnerabili a nuovi metodi di attacco in evoluzione.
Il rilevamento basato su anomalie può portare a falsi positivi elevati in quanto avvisa su tutti i comportamenti anomali., Ma ha il potenziale per catturare minacce zero-day. Fortunatamente, molti prodotti IDPS combinano entrambe le metodologie per integrare i loro punti di forza e di debolezza.
Sfide quando si gestiscono IDPS
È possibile che si verifichino alcune sfide quando si tratta di strumenti software IDPS. Qui ci sono alcuni per mantenere top-of-mind:
- Falsi positivi: Sarà quasi sicuramente incorrere nel problema degli avvisi falsi positivi, che possono perdere tempo e risorse. Essere vigili quando si riceve una notifica di un comportamento potenzialmente dannoso, ma anche essere consapevoli del fatto che non è una garanzia di un attacco.,
- Personale: la sicurezza informatica è così essenziale per le organizzazioni moderne che attualmente vi è una carenza di professionisti della sicurezza disponibili. Prima di implementare un sistema IDPS, assicurati di aver messo insieme un team che abbia le capacità per gestirlo in modo efficace.
- Rischi reali: oltre alla semplice gestione di un IDPS, ci saranno casi in cui è richiesto l’intervento dell’amministratore. Un IDP può bloccare molti attacchi ma non tutti. Assicurati che i team mantengano le loro conoscenze aggiornate sui nuovi tipi di attacchi in modo che non siano ignoranti quando ne viene identificato uno.